Forum d'entraide PHPFrance

Bonjour,
voila j'ai un souci. je veux créer un formulaire où l'on peut modifier le titre et le corps d'un texte qui doit être afficher sur une page web en suite. Mais voilà, j'aimerais que l'on puisse modifier soit le titre, soit le corps du texte soit les deux en même temps. Mais le souci est que quand je choisis de modifier seulement le titre et que je ne tape rien dans le champ corps de texte, celui ci est effacé. comment faire pour que cela n'arrive pas et que le champ laissé vide dans le formulaire ne soit pas effacé?
page du formulaire: Page de l'envois vers la bdd:

Salut,

Il faut tester l'existance des infos avant de les utiliser (tu ne peut etre certain que le source html ne sera pas modifier).
Pour cela utilise la fonction empty ou la fonction isset.

Avec empty tu peut construire la requete en fonction du contenu.
If (!empty($_POST['truc'])) $requete .= 'truc=\''.$_POST['truc'].'\'';
requete doit etre definit avant (update table set )
Ajout le mysql_* bien entendu, comme tu le fait actuellement. Le htmlspecialchars est a reserver pour l'affichage (si tu modifie deux fois il se passe quoi ?)
@+

If (!isset($_POST['truc'])) $requete .= 'truc=\''.addslashes($_POST['truc']).'\'';

Pitié

Salut,

Avec empty tu peut construire la requete en fonction du contenu.
If (!empty($_POST['truc'])) $requete .= 'truc=\''.$_POST['truc'].'\'';
requete doit etre definit avant (update table set )
Ajout le mysql_* bien entendu, comme tu le fait actuellement. Le htmlspecialchars est a reserver pour l'affichage (si tu modifie deux fois il se passe quoi ?)
@+

pardon mais je ne comprend pas très bien

@popy : pas addslashes il n'échappe pas tous, pis en fonction de l'état des magic_quoteça peut mettre un brin fou (bon ça peu surement être pareil avec mysql_real_escape_string).

@XavierBial : un truc comme ça (a tester bien sur)

<?php
	// connection au serveur à ajouter
	//construction de la requête
	$sql = 'UPDATE texte SET '; 
	if (!empty($_POST['titre'])) {
		$sql .= 'titre=\''.mysql_real_escape_string($_POST['titre']).'\'';
		if (!empty($_POST['corps'])) {
			$sql .= ', corps=\''.mysql_real_escape_string($_POST['corps']).'\'';
		}
	}else {
		if (!empty($_POST['corps'])) {
		$sql .= 'corps=\''.mysql_real_escape_string($_POST['corps']).'\'';
		}
		else {
			$sql = null;
		}
	}
	if ($sql === null) {
		echo '<p>Erreur les deux champs sont vide ....</p>';
	}
	else {
		$sql .= ' where page=\''.mysql_real_escape_string($_POST['page']).'\'';
		$requete = mysql_query($sql);
		if($requete === false){
			echo '<p>Erreur SQL : '.mysql_error().'<br />Requête : '.$sql.'</p>';
		}
		else{
			echo 'La modification à été correctement effectuée';
		}
	}
?>

@+

Dans la pratique, mysql_real_escape_string et addslashes font a peu près la même chose. Par contre, les magic quotes... c'est une fausse excuse. Il faut echapper les valeur, sinon gare aux SQL injection

Retourne la chaîne str, après avoir échappé tous les caractères qui doivent l'être, pour être utilisée dans une requête de base de données. Ces caractères sont les guillemets simples ('), guillemets doubles ("), antislash (\) et NUL (le caractère NULL).

mysql_real_escape_string() appelle la fonction mysql_escape_string() de la bibliothèque MySQL qui ajoute un slash aux caractères suivants : NULL, \x00, \n, \r, \, ', " et \x1a.

effectivement elle font presque la même chose .... ou presque !

je n'ai pas dit de ne pas échapper les chaines issu des utilisateurs, j'indique toujours de le faire.
c'est vrai que je ne fournis pas des choses de ce style à chaque fois

<?php
function escapeString($v) {
        if (get_magic_quotes_gpc()=== 1){
            stripslashes($v);
        }
		return mysql_real_escape_string($v);
	}
?>

bref perso je désactive les magic quotes c'est plus simple.

Maintenant Xavier a tous ce qu'il lui faut, sauf peut une explication sur les apostrophes magiques et les injection SQL => http://www.expreg.com/fred_article.php? ... phemagique c'est un bon début.

@+