Forum d'entraide PHPFrance

Venez poser vos questions PHP, MySQL, HTML5, CSS, Javascript, Gestion de serveurs à la communauté PHPfrance
https://forum.phpfrance.com/

Erreur pour définir variable

https://forum.phpfrance.com/viewtopic.php?f=8&t=270770

Page 1 sur 1

Erreur pour définir variable

Posté : 01 avr. 2014, 18:50
par Dryxo
Bonjour,

Je débute en PHP, et j'ai une erreur sur ce code, je ne parvient pas à la trouver. :(
<?php

$name = $_POST['name'];
$msg = $_POST['msg'];


include '../db.php';

// On ajoute une entrée dans la table jeux_video
$sql->exec('INSERT INTO pages(name, trolls, msg) VALUES('$name', 0, '$msg')');

header("create-ok.php?name=$name")
?>
Dans "db.php" il y a le code de connexion à la base de données.

Merci.

Re: Erreur pour définir variable

Posté : 01 avr. 2014, 20:54
par xTG
1/ Toujours vérifier les variables, tu ne sais pas ce qu'il y a dans $_POST et peut donc récupérer n'importe quoi. On peut même arriver sur ce script sans venir de ton formulaire et donc générer des erreurs et une requête bidon... ;)
2/ Activer les erreurs de PDO (voir la documentation http://php.net/pdo) permettrai d'en savoir plus.
3/ Tu ne protèges pas les paramètres de ta requête (variable) contre les injections SQL. Un petit malin qui trouve cela pourrait donc te supprimer toute ta base de données en appelant ton script avec un paramètre $_POST['msg] à sa sauce.
4/ Pour le debug commentes la redirection
Heures au format UTC+02:00
Page 1 sur 1
Powered by phpBB® Forum Software © phpBB Limited
https://www.phpbb.com/