Discussion :

[Jexx]

Bonjour,

J'ai crée ma première base avec SQL Server 2000.J'utilise php pour attaquer cette base.

Voilà une requête qui me pose problème :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
 
<?php
$link = mssql_connect("10.1.6.14","xxxxx","xxxx")or die(" connexion impossible");
mssql_select_db('[production]', $link);
$requete="UPDATE intervention SET commentaire = \"".addslashes($_POST['comm_modif'])."\", date_cloture=\"$aujourdhui à $now\", validation=\"".$_POST['cloturer']."\" WHERE id=7990";
$result = mssql_query( $requete );
mssql_close();
?>

Je ne pense pas avoir d'erreurs au niveau de la synthaxe, mais si $_POST['comm_modif'] contient des guillemets l'exécution de la requête est impossible. Pourtant addslashes les protège bien.

Avez-vous des idées ?

Merci à bientôt !

Antoine

[Jexx]

Voilà le résultat à l'éxécution :

Ma requête :
UPDATE intervention SET commentaire = "Tentative d\'enregistrement avec des guillemets \"\" !", date_cloture="23/08/2006 à 09:29:29", validation="Oui!" WHERE id=7986

Warning: mssql_query(): message: Ligne 1 : syntaxe incorrecte vers '\'. (severity 15) in d:\weblocal\interventions\index_.php on line 288
Warning: mssql_query(): Query failed in d:\weblocal\interventions\index_.php on line 288

[telynor]

je ne pense pas que le " pose de probleme par contre les simples quotes (') etant le séparateur de text de SQL forcément ca va planter.

Pour éviter ca au lieu de les faire précéder de \ double les

set toto = 'l''hopital'

[Jexx]

Sympa d'avoir répondu

Résultat sans mettre de simple quote:

Ma requête :
UPDATE intervention SET commentaire = "Tentative \"d enregistrement\" avec des guillemets !\"", date_cloture="23/08/2006 à 10:07:53", validation="Oui!" WHERE id=7986

Warning: mssql_query(): message: Ligne 1 : syntaxe incorrecte vers 'd'. (severity 15) in d:\weblocal\interventions\index_.php on line 288

Warning: mssql_query(): message: Ouvrez les guillemets avant la chaîne de caractères ' WHERE id=7986'. (severity 15) in d:\weblocal\interventions\index_.php on line 288

Warning: mssql_query(): Query failed in d:\weblocal\interventions\index_.php on line 288

C'est dingue, même en les protègeant ça ne passe pas !

[ZERS]

c'est l'inverse qu'il faut faire. Tu vires les \, et tu doubles les '

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
 
declare @test varchar(100)
set @test = 'Tentative d''enrgistrement des'

[telynor]

UPDATE intervention
SET commentaire =' "Tentative \"d enregistrement\" avec des guillemets !\"", date_cloture="23/08/2006 à 10:07:53", validation="Oui!" '
WHERE id=7986

il faut placer ta chaine entre simple quote pour que SQL comprenne que c est une chaine de caractere
par contre a quoi serve tes slashs ?

[Jexx]

C'est addslashes() qui me les place dans la chaine pour justement protéger les caractères spéciaux. Manifestement, ça n'a pas d'effets avec SQL Server !

[telynor]

non pour protégé une quote en sql serveur il faut la doubler, par contre c'est valable pour les quotes dans une chaine de caractere mais une chaine de caractere reste délimité par une simple quote au début et une simple quote a la fin.

[Jexx]

Ok merci !

J'ai pas l'habitude avec SQL Server encore :p

Merci pour vos interventions !

Antoine

[youyou73]

Bonjour,

je me permets de rajouter une petite question...

Existe-t-il une fonction SQL qui assurerait ce double quote sur toute la chaine de caractère d'une variable ?

(un peu comme la fonction addslashes en PHP, car en gros j'ai un texte à insérer dans ma BD et ca plante des qu'il y a un apostrophe)

Merci d'avance

[telynor]

nop je ne pense pas, il faut le faire dans ton code

[Jexx]

Bonjour !

Donc justement pour éviter les soucis avec les simples quotes, je formate ma requête de la façon suivante :


$chaine="UPDATE matable SET champ = '".ereg_replace("'", "''", $_POST['comm_modif'])."' WHERE identifiant=x";

ereg_replace() va remplacer toutes les occurences des ' et les remplacer par ''.
Du coup je pense qu'à l'instar d'addslashes, cela nous protège aussi des injections SQL

A bientôt sur cet exellent forum

Antoine