Discussion :

[claude77]

Bonjour à tous
je veux récupérer un POST_ d'un formulaire
pour m'en servit dans un INSERT
Mais j'ai une erreur de syntaxe que je comprends pas

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
$SQL="INSERT INTO ".$table1."
		SET	numero_adh='".POST_$numero_adh."',
			ad_read_cotis='".POST_$ad_read_cotis."',
			nom_adh='".$POST_nom_adh."'

Merci d'avance.

[CinePhil]

1) La syntaxe normale de INSERT est :

Code SQL :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
INSERT INTO la_table (/* les_colonnes_à_alimenter */)
VALUES (/* les_valeurs_alimentant_les_colonnes */)

2) En PHP, la variable globale $_POST est un tableau. Il faut donc utiliser ses différents éléments de cette manière :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$_POST['element']

3) Pourquoi mettre le nom de la table dans une variable alors que les noms de colonnes sont en clair ?

4) Pour éviter les injections SQL, il faut utiliser mysql_real_escape_string pour les valeurs textuelles et intval pour les valeurs entières.

Ce qui donnerait ce code :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
$SQL = "
	INSERT INTO /* vrai nom de la table */ (numero_adh, ad_read_cotis, nom_adh) 
	VALUES ('".mysql_real_escape_string($_POST['numero_adh'])."', 
			'".mysql_real_escape_string($_POST['ad_read_cotis'])."', 
			'".mysql_real_escape_string($_POST['nom_adh'])."' )
	";

[claude77]

merci cinephil pour ta réponse
-pour le $table c'est une habitude que j'ai prise de déclarer mes tables en début de script après mon connect,
- pour la sécurité effectivement il faut mieux prendre l'habitude de le faire, mais dans mon cas il n'y pas que le super admin qui peut insérer une écriture par le formulaire
- l'INSERT
ne peut-on pas réaliser un INSERT avec un SET ??

je récupère les variables de mon POST

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
 
if(isset($_POST['nom_adh']))    // on récupere les INPUT du formulaire
{
	$numero_adh=$_POST['numero_adh];
	$id_statut=$_POST['id_statut'];
	$nom_adh=$_POST['nom_adh'];
}

ensuite je fais mon INSERT avec un SET

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
 
$SQL="INSERT INTO ".$table."
		SET	numero_adh='".$numero_adh."',
			id_statut='".$id_statut."',
			nom_adh='".$nom_adh."'

donc, mon but était d'affecter directement la variable $_POST dans le INSERT sans passer par la première de étape récupération des $_POST
du genre

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
$SQL="INSERT INTO ".$table."
   SET	numero_adh='".mysql_real_escape_string($_POST['numero_adh'])."',
id_statut='".mysql_real_escape_string($_POST['id_statut'])."',
nom_adh='".mysql_real_escape_string($_POST['nom_adh'])."'
"; // ne pas oublier ca marche mieux
$result = mysql_query($SQL) or die ("Exécution de la requête INSERTION impossible");

mais là j'ai un problème de syntaxe

[CinePhil]

mais là j'ai un problème de syntaxe

Lequel ?
Ajoute mysql_error() dans le die de la soumission de la requête.

Pourquoi ne pas avoir essayé ma requête qui est plus conforme au standard ?

[claude77]

merci cine phil pour ta gentillesse
avec les copier/ coller il ne faut pas en oublier une partie

donc j'ai modifié le code de mon dernier message en rajoutant
le "; qui avait sauté
et tes bons conseils pour la sécurité que j'ai bien notés

en conclusion le code fonction très bien

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
 
$SQL="INSERT INTO ".$table."
   SET	numero_adh='".mysql_real_escape_string($_POST['numero_adh'])."',
id_statut='".mysql_real_escape_string($_POST['id_statut'])."',
nom_adh='".mysql_real_escape_string($_POST['nom_adh'])."'
 
"; // ne pas oublier et ca marche mieux
 
$result = mysql_query($SQL) or die ("Exécution de la requête INSERTION impossible");

[ABCIWEB]

Oui y'a pas de souci à utiliser cette syntaxe, mais la syntaxe indiquée par CinePhil est plus confortable à utiliser, notamment quand ont fait des inserts multiples. C'était juste une précision du pourquoi on utilise peu cette façon de faire