Discussion :

[laurentSc]

Bonsoir,

je fais un formulaire qui me semble très simple et pourtant pas moyen d'en récupérer les données :

Code html :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
<form action="action_patient.php" type="post">
<table>
<tr><td>Nom : </td><td><input type="text" name="nom" size="20"></td></tr>
<tr><td>Prénom : </td><td><input type="text" name="prenom" size="20"></td></tr>
<tr><td></td><td><input type="submit" value="envoyer"></td></tr>
</table>
</form>

action_patient.php

Code php :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
    <?php
 
$PARAM_hote='----'; // le chemin vers le serveur
$PARAM_nom_bd='----'; // le nom de votre base de données
$PARAM_utilisateur='----'; // nom d'utilisateur pour se connecter
$PARAM_mot_passe='----'; // mot de passe de l'utilisateur pour se connecter
$connexion = new PDO('mysql:host='.$PARAM_hote.';dbname='.$PARAM_nom_bd, $PARAM_utilisateur, $PARAM_mot_passe);	
$sql="INSERT INTO `patient` (nom,prenom) VALUES (".$_POST['nom'].",".$_POST['prenom'].")";
echo "sql=".$sql."<br/>";
$connexion->exec($sql);
	?>

Dans le sql, dans VALUES, y a rien...
c'est quoi le bug gros comme une maison ?

[armel18]

salut,
ton formulaire ne transmet pas les données en POST car à la place de l'attribut method du form tu as mis type

Code html :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
<form action="action_patient.php" method="post">
<table>
<tr><td>Nom : </td><td><input type="text" name="nom" size="20"></td></tr>
<tr><td>Prénom : </td><td><input type="text" name="prenom" size="20"></td></tr>
<tr><td></td><td><input type="submit" name="envoyer" value="envoyer"></td></tr>
</table>
</form>

ce qu'il faut toujours faire:
-effectuer une vérification sur les données reçues
-activer la gestion d'erreurs pdo
-Échapper les données reçues

[laurentSc]

J'avais raison de parler de gros bug ; en fait, il y en avait 2 ("type" au lieu de "method" et données non échappées) mais il doit y en avoir un 3e car l'action, erreur 500... (pas trouvée)
(et dis-moi si la gestion des erreurs de pdo est correcte) :

Code html :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
<?php
header('Content-type: text/html; charset=UTF-8');
session_start();
?>
<!DOCTYPE html>
<html>
  <head>
    <meta content="text/html; charset=utf-8" http-equiv="content-type">
    <title></title>
	    <meta content="text/html; charset=utf-8" http-equiv="content-type">
    <title></title>
 <link rel="stylesheet" href="http://code.jquery.com/ui/1.10.3/themes/smoothness/jquery-ui.css">
 
  <script src="http://code.jquery.com/jquery-1.9.1.js"></script>
 
  <script src="http://code.jquery.com/ui/1.10.3/jquery-ui.js"></script>
 
  <link rel="stylesheet" href="/resources/demos/style.css">
 
  <script>
 
  $(function() {
 
    $( "#datepicker" ).datepicker({
 
      changeMonth: true,
 
      changeYear: true
 
    });
 
  });
 
  </script>	
  </head>
  <body>
 
<?php include("menu.html"); ?>
<form action="action_patient.php" method="post">
<table>
<tr><td>Nom : </td><td><input type="text" name="nom" size="20"></td></tr>
<tr><td>Prénom : </td><td><input type="text" name="prenom" size="20"></td></tr>
<tr><td>Date naissance : </td><td><input type="text" name="date_naissance" id="datepicker"></td></tr>
<tr><td></td><td><input type="submit" value="envoyer"></td></tr>
</table>
</form>
 
  </body>
</html>

action_patient.php :

Code php :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
    <?php
 function setFrenchDate($date) {
		$dateintermediaire=date_parse_from_format("d/m/Y",$date); //strptime marche pas
		$day=$dateintermediaire['day'];
		$month=$dateintermediaire['month'];
		$year=$dateintermediaire['year'];
		return($year."-".$month."-".$day);//conversion fr->ISO (format bdd)
 
	} 	
 
try {
$PARAM_hote='---'; // le chemin vers le serveur
$PARAM_nom_bd='---'; // le nom de votre base de données
$PARAM_utilisateur='---'; // nom d'utilisateur pour se connecter
$PARAM_mot_passe='---'; // mot de passe de l'utilisateur pour se connecter
$connexion = new PDO('mysql:host='.$PARAM_hote.';dbname='.$PARAM_nom_bd, $PARAM_utilisateur, $PARAM_mot_passe);	
$sql="INSERT INTO `patient` (nom,prenom,date_naissance) VALUES ("\"".$_POST['nom']."\",\"".$_POST['prenom']."\",\"".setFrenchDate($_POST['date_naissance'])."\")";
//$sql="INSERT INTO `patient` (nom,prenom) VALUES (".$_POST['nom'].",".$_POST['prenom'].")";
echo "sql=".$sql."<br/>";
$connexion->exec($sql);
}
 
catch(PDOException $e) {
    $msg = 'ERREUR PDO dans ' . $e->getFile() . ' L.' . $e->getLine() . ' : ' . $e->getMessage();
    die($msg);
}
 
	?>

(je n'ai pas resimplifié le code)

[Celira]

Question bête : les deux fichiers sont bien dans le même dossier ?

Au passage, il faudrait échapper les données dans ta requête en utilisant PDO::quote (ou en passant par une requête préparée)

[Invité]

Bonjour Laurent,
là tu fais vraiment peur !

• mauvaise utilisation de <table>,
• pas de vérification des données transmises ni de gestion d'erreur,
• requête non-sécurisée,
• ...

C'est une vraie PASSOIRE que tu nous proposes là !

A LIRE ABSOLUMENT :

• Les formulaires et PHP5
• Formulaire (ex. Envoyer un mail en PHP) : sécurité
• Comprendre PDO

[Bovino]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

"INSERT INTO `patient` (nom,prenom,date_naissance) VALUES ("\""

[laurentSc]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

"INSERT INTO `patient` (nom,prenom,date_naissance) VALUES (\""...

œil de lynx, Bovino (je l'ai déjà lu quelque part mais ne sais plus où).
Pour les autres, merci aussi pour les réponses (les liens que je vais étudier)

[laurentSc]

Il faut savoir que en 7 ans de développement web, c'est la première fois que dans un formulaire, j'utilise <label> à la place de <table> ; c'est aussi la première fois que j'essaye d'utiliser PDO (tout le temps _mysql et une fois _mysqli procédural) et des requêtes préparées.
Bon y a un bug quelque part, car quand je fais "envoyer", de nouveau il trouve pas (comme avant que Bovino ne me trouve mon bug), mais je ne vois pas où...

Code html+PHP :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
<?php
header('Content-type: text/html; charset=UTF-8');
session_start();
?>
<!DOCTYPE html>
<html>
  <head>
    <meta content="text/html; charset=utf-8" http-equiv="content-type">
    <title></title>
	    <meta content="text/html; charset=utf-8" http-equiv="content-type">
    <title></title>
 <link rel="stylesheet" href="http://code.jquery.com/ui/1.10.3/themes/smoothness/jquery-ui.css">
 
  <script src="http://code.jquery.com/jquery-1.9.1.js"></script>
 
  <script src="http://code.jquery.com/ui/1.10.3/jquery-ui.js"></script>
 
  <link rel="stylesheet" href="/resources/demos/style.css">
 
  <script>
 
  $(function() {
 
    $( "#datepicker" ).datepicker({
 
      changeMonth: true,
 
      changeYear: true
 
    });
 
  });
 
  </script>	
  </head>
  <body>
 
<?php include("menu.html"); ?>
<form action="action_patient.php" method="post">
<label>Nom : <input type="text" name="nom" size="20"/></label><br/>
<label>Prénom :<input type="text" name="prenom" size="20"/></label><br/>
<label>Date naissance : <input type="text" name="date_naissance" id="datepicker"/></label><br/>
<input type="submit" value="envoyer"/>
</form>
 
  </body>
</html>

action_patient.php :

Code PHP :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
    <?php
 function setFrenchDate($date) {
		$dateintermediaire=date_parse_from_format("d/m/Y",$date); //strptime marche pas
		$day=$dateintermediaire['day'];
		$month=$dateintermediaire['month'];
		$year=$dateintermediaire['year'];
		return($year."-".$month."-".$day);//conversion fr->ISO (format bdd)
 
	} 	
 
try {
$PARAM_hote='----'; // le chemin vers le serveur
$PARAM_nom_bd='----'; // le nom de votre base de données
$PARAM_utilisateur='----'; // nom d'utilisateur pour se connecter
$PARAM_mot_passe='----'; // mot de passe de l'utilisateur pour se connecter
$connexion = new PDO('mysql:host='.$PARAM_hote.';dbname='.$PARAM_nom_bd, $PARAM_utilisateur, $PARAM_mot_passe);	
$sql="INSERT INTO `patient` (nom,prenom,date_naissance) VALUES (?,?,?)";
 
 
$prep = $connexion->prepare($sql);
 
//Associer des valeurs aux place holders
$prep->bindValue(1, $_POST['nom'], PDO::PARAM_INT);
$prep->bindValue(2, .$_POST['prenom'], PDO::PARAM_INT);
$prep->bindValue(3, setFrenchDate($_POST['date_naissance']), PDO::PARAM_INT);
 
//Compiler et exécuter la requête
$prep->execute();
}
 
catch(PDOException $e) {
    $msg = 'ERREUR PDO dans ' . $e->getFile() . ' L.' . $e->getLine() . ' : ' . $e->getMessage();
    die($msg);
}
 
	?>

...sauf que j'ai vu en écrivant ce post ! Un point en trop ligne 24 de action_patient.php

Donc de nouveau

[papajoker]

Il faut savoir que en 7 ans de développement web

vu tes questions, ton code à travers les forum; tu n'as pas intégré des images pendant 7 ans ? ou tu as pris 7 années pour écrire un intranet ?

j'ai l'impression que tu cherches a faire une faute par ligne

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$prep->bindValue(1, $_POST['nom'], PDO::PARAM_INT);

note: pas d'excuse, moi si je débute avec une techno, justement le lis la doc ! et ici, il faut être aveugle, ou ne parler que chinois

[laurentSc]

T'as raison ; j'avais juste fait un copier-coller et comme ça marchait, j'ai laissé, mais...

Code php :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
	$prep->bindValue(1, $_POST['nom'], PDO::PARAM_STR);
	$prep->bindValue(2, $_POST['prenom'], PDO::PARAM_STR);
	$prep->bindValue(3, setFrenchDate($_POST['date_naissance']), PDO::PARAM_INT);

ça doit être mieux...

[papajoker]

presque ... date !

[laurentSc]

...Oui :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
	$prep->bindValue(1, $_POST['nom'], PDO::PARAM_STR);
	$prep->bindValue(2, $_POST['prenom'], PDO::PARAM_STR);
	$prep->bindValue(3, setFrenchDate($_POST['date_naissance']), PDO::PARAM_STR);

ouf