Discussion :

[Echap]

Bonjour,
j'ai un problème d'insertion des données de type text et html dans un champ de type LONGTXT.
voici l'erreur:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 public 'error' => string 'You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''<p>
 
	Haec subinde Constantius audiens et quaedam referente Thalassio doc' at line 1' (length=226)
  public 'queryId' => boolean false

l'erreur et plus au moins claire j'ai essayer depuis d'utilisé toutes les fonctions de protection quote la désactivation code html ... sans résultats
j'ai pensé d'une autre façon ,j'ai crée deux fonction qui s'occupent des virgules, les point virgules et slash
voici le code de la function addslashes:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
function addText($txt)
		{
			if(get_magic_quotes_gpc()==false)
					{
					return utf8_encode(addslashes($txt));
					}else{
					return utf8_encode($txt);
					}
 
		}

le code de la function protect virgules:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
		function protect_virgules($txt)
		{
			if($txt!='')
			{
				$x = strlen($txt);
				$newTxt = '';
				for($i=0;$i<=$x;$i++)
				{
						if($txt[$i]==',' || $txt[$i] == ';')
						{
 
							$newTxt.= '\\'.$txt[$i];
						}
						else
						{
							$newTxt.=$txt[$i];
						}
				}
				return htmlentities($newTxt);				
			}
			else
			return '0';
		}

toujours l'erreur de syntaxe m'attrape à la gorge
pourriez vous m'aider
bien cordialement

[ericd69]

salut,

le seul truc que tu as à gérer c'est les ' ou " qui délimitent du texte en sql

tu devrais abandonner l'extension mysql, qui va être abandonnée, pour te connecter à mysql mais plutôt mysqli ou pdo qui possède des fonctions d'échappement

sinon tu as mysql_real_escape_string()

[Echap]

tout d'abord merci bien pour votre réponse,
je n'utilise pas PDO pour gérer mes requêtes j'utilise des méthodes classic
j'aimerai bien rajouter quelques information.
voici la fonction qui s'occupe du traitement de l'insertion:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
public function insert($table,$data){  

    $this->last_insert_id = NULL;

    $fields = "";
    $values = "";
    foreach($data as $fld => $val){
        $values .= trim($this -> escape($val)).",";
         $fields .= $fld.",";

    }
    $values = '"'.substr($values,0,strlen($values)-1).'"';
    $fields = '"'.substr($fields,0,strlen($fields)-1).'"';
    $tab=array($this->escape($table),$fields,$values,"@last_id");
    $this->CALL_SP("sp_insert",$tab);
    if ( $result = mysqli_query( $this->linkId, "SELECT @last_id AS last_inserted_id" ) ) {
        while ($row = mysqli_fetch_assoc($result))
        {
            $this->last_insert_id = $row['last_inserted_id'];
        }
    }

    return  $this->queryId;
}

la fonction escape exécute mysql_real_escape_string() , et voici le code:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
public function escape($var){
        if(get_magic_quotes_gpc()){
    		$var = stripslashes($var);
    	}
 
    	$this -> connect();
    	$return = mysqli_real_escape_string($this->linkId,$var);
    	switch(strtoupper($var)){
    		case 'NULL':
    		case 'NOW()':
    		case 'CURDATE()':
    		case 'CURTIME()':
    		case 'UNIX_TIMESTAMP()':
    		return $var;
    	}
 
        return "'".$return."'";
    }

en fin la fonction qui s'occupe de l'insertion réellement :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
 BEGIN
 SET @stmt_sql=CONCAT("INSERT INTO ", tableName, "  (",fields,")VALUES(", param ,")");
 PREPARE stmt FROM @stmt_sql;
 EXECUTE stmt;
 DEALLOCATE PREPARE stmt;
 SELECT LAST_INSERT_ID() into last_id;
END

[ericd69]

donc ton code utilise mysqli vu que tu utilises en plus des procédures stocker donc il ne faut utiliser que les fonctions liées à mysqli (pas de addslashes, stripslashes, etc...)

sans envoyer ta chaine affiche la pour voir ce qui est échappé ou pas
dedans tu ne dois pas avoir de ' ou "" sans une \ devant

[Echap]

Bonjoyur
Merci pour votre réponse.
mais comment gérer mes slash ? car la fonction

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

mysqli_real_escape_string()

gère cette liste

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
:\n 	Fin de ligne (LF ou 0x0A (10) en ASCII)
\r 	Retour à la ligne (CR ou 0x0D (13) en ASCII)
\t 	Tabulation horizontale (HT or 0x09 (9) en ASCII)
\v 	Tabulation verticale (VT ou 0x0B (11) en ASCII) (depuis PHP 5.2.5)
\e 	échappement (ESC or 0x1B (27) en ASCII) (depuis PHP 5.4.0)
\f 	Saut de page (FF ou 0x0C (12) en ASCII) (depuis PHP 5.2.5)
\\ 	Antislash
\$ 	Signe dollar
\"      Guillemet double

je peux trouver la liste des fonction lié a mysqli ? j'ai bien lu dans la doc de mysqli ,selon mes yeux aucune fonction ne gère simple cote.
est ce que je peux gérer tout ça par une fonction ?

[ericd69]

tes petits yeux doivent être très fatigués alors:

• pour mysql_real_escape_string: NULL, \x00, \n, \r, \, ', " et \x1a
• pour mysqli_real_escape_string: NUL (ASCII 0), \n, \r, \, ', ", and Control-Z