Discussion :

[Luke-06]

Bonjour à tous,

Je précise d'abord que je débute en PHP mysql, je travaille sur un projet pour mon entreprise.

J'ai réalisé un formulaire de réservation qui inscrit dans une base de données des infos ( nom, prénom, email etc .... )

Tout ça fonctionne très bien.

A la validation du formulaire, une confirmation est affichée avec un récapitulatif des infos renseignées. Dans le cas où plusieurs personnes valident ce formulaire en même temps, j'ai imaginé attribuer à chaque validation un ID unique, afin de savoir quoi afficher, et à qui. Le problème est que je n'arrive pas à aller chercher la bonne ligne et afficher son contenu. En gros j'aimerai sélectionner la ligne ( donc le nom, le prénom, email etc .... ) qui a cet ID unique dans le champ nommé " uniqid". J'ai tout essayé, je n'y arrive pas.... Dites moi ce qui ne va pas dans mon code :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
<?php
 
		// DSN (Data Source Name) de PDO
		$dsn = 'mysql:host=localhost;dbname=vtc;charset=utf8mb4';
		$username = 'root';
		$password = '';
 
		// Créer une instance PDO
		$pdo = new PDO($dsn, $username, $password);
 
		// Définir le mode d'erreur sur exception
		$pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
		}
		catch (Exception $e)
		{
			die('Erreur : ' . $e->getMessage());
		}
 
		// Je récupère un ID unique généré sur la page précédente via get url -> fonctionne très bien		
		$id = $_GET["id"];
 
		// je l'affiche pour vérifier que ça marche bien
		echo $id;
 
		// Je prépare ma requête sql qui doit aller chercher 1 seule ligne de la table, celle où est inscrit l'ID unique récupéré via GET URL précédemment
		$sql = 'SELECT name, surname FROM reservation WHERE uniqid = @id';
 
		$req = $pdo->prepare($sql);
		$req->execute();
		$data = $req->fetchAll();
 
		// J'en suis là, je sais que le code ci -dessous n'est pas correct, il va lister tous les champs alors que je n'ai besoin que d'une seule ligne ( celle de l'ID unique )
		foreach ($data as $reservation) {
 
			$id = $reservation['uniqid'];
			$name = $reservation['name'];
			$surname = $reservation['surname'];
			$email = $reservation['email'];
			$phone = $reservation['phone'];
			$date = $reservation['date'];
			$time = $reservation['time'];
			$passengers = $reservation['passengers'];
 
		}		
 
		?>

Avec ce code, j'ai un message d'erreur, par exemple la variable $name n'existe pas.

Si quelqu'un a une idée, je suis preneur car j'ai tout essayé, et rien ne fonctionne.

Merci d'avance.

[Séb.]

Je vois un catch, mais il manque le try

// Je récupère un ID unique généré sur la page précédente via get url -> fonctionne très bien
$id = $_GET["id"];

Est-ce que cela veut dire qu'un utilisateur peut modifier l'ID de l'URL et afficher les infos de réservation d'autres visiteurs ?
Si oui alors c'est un problème.

// Je prépare ma requête sql qui doit aller chercher 1 seule ligne de la table, celle où est inscrit l'ID unique récupéré via GET URL précédemment
$sql = 'SELECT name, surname FROM reservation WHERE uniqid = @id';

Le marqueur de paramètre d'une requête préparée doit commencer par : et non @ :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$sql = 'SELECT name, surname FROM reservation WHERE uniqid = :id';

(@ est marqueur de variable MySQL)

$req->execute();

Tu prépares la requête, mais tu n'utilises pas l'ID paramétrique.
Il faut plutôt faire :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$req->execute(['id' => $id]);

Avec ce code, j'ai un message d'erreur, par exemple la variable $name n'existe pas.

Avec ton code, je ne vois pas comment tu peux avoir cette erreur. Tu n'utilises pas $name !

[Luke-06]

super merci pour la réponse !

J'ai modifié le code avec tes suggestions, effectivement tu as mis le doigt sur mes erreurs, merci encore ... Là ça fonctionne

Effectivement je n'utilise pas la variable $name , car je n'ai pas mis la suite du code. J'ai mis uniquement la partie du code qui pose problème. Mais je l'appelle plus bas dans le document html, et avec les modifications, c'est bon plus d'erreur !

Sinon oui un utilisateur peut modifier l'id dans la barre d'adresse, et donc il peut tomber sur la réservation d'une autre personne. En fait je ne sais pas trop comment passer un id d'une page à l'autre simplement, si vous avez une idée je suis preneur. J'avais pensé à un champ de formulaire masqué, ou un truc dans le genre ...

Voici où j'en suis

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
<?php
 
		try
			{
				// DSN (Data Source Name) de PDO
				$dsn = 'mysql:host=localhost;dbname=vtc;charset=utf8mb4';
				$username = 'root';
				$password = '';
 
				// Créer une instance PDO
				$pdo = new PDO($dsn, $username, $password);
 
				// Définir le mode d'erreur sur exception
				$pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
			}
			catch (Exception $e)
			{
				die('Erreur : ' . $e->getMessage());
			}
 
		// Je récupère un ID unique généré sur la page précédente via get url -> fonctionne très bien		
		$id = $_GET["id"];
 
		// je l'affiche pour vérifier que ça marche bien
		echo $id;
 
		// Je prépare ma requête sql qui doit aller chercher 1 seule ligne de la table, celle où est inscrit l'ID unique récupéré via GET URL précédemment
		$sql = 'SELECT name, surname, email, phone, date, time, passengers FROM reservation WHERE uniqid = :id';
 
		$req = $pdo->prepare($sql);
		$req->execute(['id' => $id]);
		$data = $req->fetchAll();
 
		foreach ($data as $reservation) {
 
			$name = $reservation['name'];
			$surname = $reservation['surname'];
			$email = $reservation['email'];
			$phone = $reservation['phone'];
			$date = $reservation['date'];
			$time = $reservation['time'];
			$passengers = $reservation['passengers'];
 
		}		
 
		?>

Une dernière question : c'est vraiment utile un foreach pour récupérer seulement les infos d'une seule ligne ?

Merci encore pour l'aide.

[Séb.]

Sinon oui un utilisateur peut modifier l'id dans la barre d'adresse, et donc il peut tomber sur la réservation d'une autre personne.

Pour éviter cela on évite les identifiants publiques facilement prédictibles.
Tu peux créer un identifiant alternatif difficilement prédictible qui ferait office de "d'identifiant publique".

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
$alternative_id = bin2hex(random_bytes(20)); // 2dcd43e3a35b30d8e562a6d76b5fd585daad8b14
// Pour le curieux ce sera difficile d'en trouver un autre

Une dernière question : c'est vraiment utile un foreach pour récupérer seulement les infos d'une seule ligne ?

Non, si tu es sûr et certain d'obtenir 1 seule ligne au plus (WHERE sur clef) tu peux utiliser fetch() au lieu de fetchAll().
Cela ne te retournera pas un tableau mais directement l'enregistrement => Plus besoin de foreach()
Il faudra bien sûr tester si le résultat n'est pas vide.

[Luke-06]

Ok super merci pour les infos !

Pour l'identifiant unique, j'utilise uniqid() -> https://www.php.net/manual/fr/function.uniqid.php

C'est pas bien ? trop prévisible ?

[mathieu]

pourquoi passer l'identifiant par l'url ? s'il y a une seule réservation, vous pouvez stocker l'identifiant dans la session.
et s'il y en a plusieurs, c'est l'identifiant utilisateur qui est stocké en session et donc vous pouvez vérifier que l'utilisateur connecté a bien le droit de voir les informations de cette réservation.

[Luke-06]

en fait je n'utilise pas $_SESSION.

C'est juste un petit formulaire de réservation " à la volée ", sans se connecter ni créer un compte.

Et si je passe l'ID dans un champ masqué ? ou une bidouille du genre ?

[mathieu]

la session est très simple à utiliser, regardez l'exemple là :
https://www.php.net/manual/fr/sessio...ples.basic.php

pour revenir à votre formulaire, je ne comprends pas à quel moment vous avez besoin d'utiliser l'identifiant de la réservation.
pour un formulaire avec une étape de validation, je vois ces étapes :

1. un fichier formulaire.php qui affiche le formulaire
2. l'envoi des données du formulaire se fait vers validation.php
3. dans validation.php, un formulaire avec juste un bouton "valider la réservation" et tous les champs du 1er formulaire en "input type=hidden"
4. ce formulaire envoie toutes les données vers enregistrer.php
5. dans enregistrer.php vous revérifiez les données saisies, les enregistrez dans la bdd et vous envoyez les e-mails

ce sont bien ces étapes dont vous avez besoin ?
si c'est cela vous n'avez pas besoin d'utiliser l'identifiant de la réservation à cet endroit. cela servira seulement pour la personne qui va lire les réservations et s'en occuper.

[Luke-06]

En fait j'utilise cet ID unique si jamais, 10 personnes font une demande de réservation au même moment ( elles cliquent sur le bouton en même temps ), pour savoir quel contenu afficher à la bonne personne. Oui je sais la probabilité est quasi nulle, mais si le cas se présente, au moins mon formulaire est protégé contre ce problème.

Mon formulaire se présente comme ceci : un formulaire - après validation une page de traitement qui récupère les infos et les inscrit dans la BDD ( aucun affichage chez l'utilisateur ) - une fois les infos dans la BDD, on affiche une page de confirmation qui récapitule les infos saisies.

Je vais creuser cette histoire de $_SESSION , mais le client n'aura pas besoin de créer un compte avec session ?

[Luke-06]

Je viens de tester $_SESSION, c'est pas mal ! pas besoin de créer de compte, et la variable passe d'une page à l'autre. Du coup je laisse tomber le GET url ...

Merci pour l'idée !

[mathieu]

Mon formulaire se présente comme ceci : un formulaire - après validation une page de traitement qui récupère les infos et les inscrit dans la BDD ( aucun affichage chez l'utilisateur ) - une fois les infos dans la BDD, on affiche une page de confirmation qui récapitule les infos saisies.

ah d'accord c'est une confirmation pour l'utilisateur que sa demande a bien été enregistrée.
donc oui dans ce cas il vaut mieux afficher ce message sur une nouvelle page au lieu du même fichier qui a fait l'enregistrement et donc il faut faire passer cette information à cette page.

et comme vous l'avez vu, le système de session est facile à utiliser en php. et l'identifiant de la réservation est stockée côté serveur dans un fichier de session donc un utilisateur malveillant aura une probabilité minuscule de pouvoir lire des autres réservations.

[Luke-06]

Voilà j'avance bien, grâce à vos conseils ! Merci encore

J'ai rajouté une redirection ( header : location ), dans le cas où un petit malin s'amuse à consulter la page de confirmation sans avoir rempli le formulaire ( et donc généré l'ID unique ), il sera renvoyé sur la page d'accueil.

Maintenant je me pose la question suivante : un client veut retrouver cette page de confirmation, le lendemain. Il a fermé son navigateur et redémarré son PC entre temps. Sa session n'est donc plus active. Comment lui permettre de retrouver sa confirmation ?? J'imagine lui envoyer le lien de sa confirmation par email. Mais vu que je n'utilise plus le GET url, comment faire ? Vous avez une idée ?

Voici où j'en suis dans le code :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
		<?php
 
		include 'connect.php';
 
		session_start();
 
		// Je récupère l'ID unique généré sur la page précédente	
		$id = $_SESSION['id'];
 
		// si l'ID n'existe pas, on revient sur la page d'accueil
		if (!isset($id))
		{
			header("Location: /index.php");
		}
 
		// Je prépare ma requête sql qui doit aller chercher 1 seule ligne de la table
		$sql = 'SELECT name, surname, email, phone, date, time, passengers FROM reservation WHERE uniqid = :id';
 
		$req = $pdo->prepare($sql);
		$req->execute(['id' => $id]);
		$data = $req->fetchAll();
 
		foreach ($data as $reservation) {
 
			$name = $reservation['name'];
			$surname = $reservation['surname'];
			$email = $reservation['email'];
			$phone = $reservation['phone'];
			$date = $reservation['date'];
			$time = $reservation['time'];
			$passengers = $reservation['passengers'];
 
		}		
 
		?>

[mathieu]

c'est pour retrouver ce genre d'information que les sites demandent de créer un compte utilisateur. et ensuite l'utilisateur se connectera avec son adresse e-mail et son mot de passe pour voir ces réservations.
une autre solution serait d'ajouter un formulaire où l'utilisateur saisit son adresse e-mail et il reçoit ensuite un lien par e-mail qui lui permet de voir ces réservations pendant 5 minutes.

suivant la fréquence d'utilisation de ces services, soit l'un soit l'autre de ces systèmes sera plus confortable pour l'utilisateur donc c'est à vous de décider.

[Luke-06]

Je ne veux pas que le client créé un compte, je veux que la prise de réservation se fasse rapidement à la volée.

Sinon je reste avec le GET url et une clé complexe. Finalement la probabilité pour qu'un client s'amuse à bidouiller la clé est faible. Et puis les infos contenues ne sont pas des informations bancaires, c'est uniquement des infos personnelles, donc rien de dramatique.