Discussion :

[7remy7]

voila j'ai créer un formulaire qui se connecte à une base de donnée, et j'ai une erreur de syntaxe pouvez-vous m'aider?
cette base de donnée m'a été fournie par mon hébergeur c'est pour cela que je ne mettrai pas les nom de la bdd et le mdp.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
 
<!DOCTYPE html>
<html>
<head>
	<title>connexion DB</title>
</head>
<body>
	<center><form method="post" action="index.php">
		prenom <input type="text" name="prenom"/><br><br>
		nom <input type="text" name="nom"/><br><br>
		age <input type="text" name="age"/><br><br>
		<input type="submit" name="enregistrer" value="enregistrer"/><br><br>
	</form></center>
</body>
 
	<?php
		$con=mysql_connect("hôte","nomdelabase","monmotdepasse");
			if (!$con) {
				die('Erreur de connexion'.mysql_error());
			}
			mysql_select_db('bestski4_formulaire',$con);
 
			$prenom=$_POST['prenom'];
			$nom=$_POST['nom'];
			$age=$_POST['age'];
 
			$sql="INSERT INTO `bonjour`(`id`, `prenom`, `nom`, `age`) VALUES ([id],[prenom],[nom],[age])";
 
				if (!mysql_query($sql,$con)) {
					die('ERREUR'.mysql_error());
				}
				echo "<center>les infos sont bien stockées</center>";
	?>
 
</html>

et donc j'ai cette erreur la :
ERREURYou have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '[id],[prenom],[nom],[age])' at line 1

[jo_link_noir]

http://php.net/manual/fr/book.mysqli.php -> requêtes préparées

[sabotage]

D'ou vient cette syntaxe avec des valeurs entre crochets ?

[laurentSc]

Si on suppose que ta table est auto-incrémentée, remplace

Code php :

Sélectionner tout - Visualiser dans une fenêtre à part

$sql="INSERT INTO `bonjour`(`id`, `prenom`, `nom`, `age`) VALUES ([id],[prenom],[nom],[age])";

par

Code php :

Sélectionner tout - Visualiser dans une fenêtre à part

$sql="INSERT INTO TABLE `bonjour`(`prenom`, `nom`, `age`) VALUES (".$prenom.",".$nom.",".$age.")";

et privilégie plutôt PDO plutôt qu'utiliser des fonctions obsolètes.

[jo_link_noir]

Le sujet d'origine parlé quand même d'injection SQL.

Plutôt que proposer une requête truffée de faille, sans le moins du monde évoquer le moyen de s'en protéger (mysqli_real_escape_string, PDO::quote), autant passer par une requête préparée.

(mysql_* ne sont pas des fonctions obsolètes, se sont des fonctions qui n'existent plus (depuis longtemps remplacées par mysqli_* utilisé par PDO).)