Discussion :

[EvilSakray]

Bonjour,

Dans le cadre d'un formulaire pré-chargé depuis la bdd, j'ai un bouton supposé mettre à jour avec le nouveau contenu des champs.
Je fais ca en AJAX et methode GET.

Aucune erreur dans la console de Javascript, Mysql ne dit rien... mais ne fait rien non plus:

J'apelle le script php ainsi:

Code Javascript :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
 
xhr.open("GET", "update_rfo.php?id="+id+"&label="+label+"&acteur="+acteur+"&validateur="+validateur+"&statut="+statut+"&description="+description+"&action="+action+"&conclusion="+conclusion, true);
xhr.send(null);

Le script PHP en lui-même.

Code PHP :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
 
<?php	
        include "connect.php";
	$label = mysql_real_escape_string($_GET['label']);
	$description = mysql_real_escape_string($_GET['description']);
	$action = mysql_real_escape_string($_GET['action']);
	$conclusion = mysql_real_escape_string($_GET['conclusion']);
	mysql_query("UPDATE `infos_rfo` SET `label` = '{$label}', `author` = '{$_GET['acteur']}', `validator` = '{$_GET['validateur']}', `status` = '{$_GET['statut']}', `description` = '{$description}', `action` = '{$action}', `conclusion` = '{$conclusion}' WHERE `ID` = '{$_GET['id']}'" or die (mysql_error()));
	mysql_close($db)
?>

Pourquoi cela ne marche-t-il pas ?
Je suis plutôt débutant dans le developpement WEB, donc j'en profite pour demander des idées et conseils pour sécuriser au mieux mes requêtes au passage .

Merci de votre aide.

[Vil'Coyote]

hum c'est quoi tout ces ` qui traine un peut partout?
de plus le "or die" se met à l'extérieur de mysql_query et non dans les parenthèses.

[Marc3001]

Test ta page update_rfo.php manuellement d'abord histoire de valider qu'elle ne revoie pas d'erreur.

Ensuite trace ta requête SQL générée dans un fichier de log histoire de valider son bon format.

[Invité]

Bonsoir,
1/ le plus surprenant, c'est que tu PROTÈGES bien certaines variables, mais pas les autres ! c'est TRES dangereux...
2/ De plus, une bonne indentation rend le code plus lisible, et plus facile à déboguer.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
<?php	
	include "connect.php";
	$label 		= mysql_real_escape_string($_GET['label']);
	$acteur 	= mysql_real_escape_string($_GET['acteur']);
	$validateur 	= mysql_real_escape_string($_GET['validateur']);
	$statut 	= mysql_real_escape_string($_GET['statut']);
	$description 	= mysql_real_escape_string($_GET['description']);
	$action 	= mysql_real_escape_string($_GET['action']);
	$description 	= mysql_real_escape_string($_GET['description']);
	$id 		= mysql_real_escape_string($_GET['id']);
	mysql_query("UPDATE infos_rfo SET 
			label = '$label', 
			author = '$acteur', 
			validator = 'validateur', 
			status = '$statut', 
			description = '$description', 
			action = '$action', 
			conclusion = '$conclusion' 
			WHERE ID = '$id';") or die (mysql_error());
	mysql_close($db);
?>

3/ Et (sauf erreur), en passant dans l'URL : utiliser escape() (en JavaScript) (équivalent de urlencode() en PHP)
puis en les récupérant : urldecode() (en PHP)

[EvilSakray]

hum c'est quoi tout ces ` qui traine un peut partout?
de plus le "or die" se met à l'extérieur de mysql_query et non dans les parenthèses.

L'erreur venait de là merci
Et les `` sauf erreur de ma part sont utilisables dans les requêtes SQL pour les noms de tables et champs. `nomdelatable` ect.

Bonsoir,
1/ le plus surprenant, c'est que tu PROTÈGES bien certaines variables, mais pas les autres ! c'est TRES dangereux...
2/ De plus, une bonne indentation rend le code plus lisible, et plus facile à déboguer.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
<?php	
	include "connect.php";
	$label 		= mysql_real_escape_string($_GET['label']);
	$acteur 	= mysql_real_escape_string($_GET['acteur']);
	$validateur 	= mysql_real_escape_string($_GET['validateur']);
	$statut 	= mysql_real_escape_string($_GET['statut']);
	$description 	= mysql_real_escape_string($_GET['description']);
	$action 	= mysql_real_escape_string($_GET['action']);
	$description 	= mysql_real_escape_string($_GET['description']);
	$id 		= mysql_real_escape_string($_GET['id']);
	mysql_query("UPDATE infos_rfo SET 
			label = '$label', 
			author = '$acteur', 
			validator = 'validateur', 
			status = '$statut', 
			description = '$description', 
			action = '$action', 
			conclusion = '$conclusion' 
			WHERE ID = '$id';") or die (mysql_error());
	mysql_close($db);
?>

3/ Et (sauf erreur), en passant dans l'URL : utiliser escape() (en JavaScript) (équivalent de urlencode() en PHP)
puis en les récupérant : urldecode() (en PHP)

Oui par la suite je suis même passé par URIEncodeComponent() à cause des caractères spéciaux.
Pour les variables non protégée.. je ne sais pas, c'est juste qu'elle correspondent à des listes "Select" donc ce sont des champs imposés et donc pas forcément nécessaire à contrôler ?

@ Marc3001

Merci mais au final ca n'aura pas été nécessaire