Discussion :

[oceane751]

bonjour à tous

j'ai créé une page de modif des coordonnées clients.

il peut entre autre modifier son login et mdp
dans le champs text j'ai mis en value, le pseudo du client, et pour le mdp j'ai mis un blanc

mais le problème, est que la mise à jour, via php, de données identiques à celles enregistrées dans la bdd, ne donne rien.

donc j'ai fait ça :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
 
if ( (($pseudo == $_POST['pseudo']) && ($mdp == $_POST['mdp'])) || (($pseudo != $_POST['pseudo']) && ($mdp == $_POST['mdp'])) || (($pseudo == $_POST['pseudo']) && ($mdp != $_POST['mdp'])) || (($pseudo != $_POST['pseudo']) && ($mdp != $_POST['mdp'])) )
 
 
$sql = "UPDATE client SET adresse = '".$_POST['adresse']."', complement = '".$_POST['complement']."', ville = '".$_POST['ville']."', cp = '".$_POST['cp']."',
  tel = '".$_POST['tel']."', mail = '".$_POST['mail']."', pseudo = '".$_POST['pseudo']."', mdp = '".$_POST['mdp']."' WHERE id_stagiaire = '".$idstag."'";
  echo $sql;
  $quer = mysql_query($sql);
  $fe = mysql_affected_rows();
 
 
if   ($fe)
  {
 
    echo "<font color = red size = +1><center>Vos données ont bien été modifiées</center></font>";
 
    echo "<META http-equiv='refresh' content='5; URL=accueil.php'>";
   }
}

mais au lieu de me redirigirer vers la page d'accueil, ça ne me fait rien..

normalement avec les conditions que j'ai mis, ça devrait marcher snif..

quelqu'un pourrait il me dire où est ce que j'ai fauté?

merci beaucoup....

[poof65]

Pour la redirection utilise plutot

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

header('location: url');

[zyongh]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
 
if ( (($pseudo == $_POST['pseudo']) && ($mdp == $_POST['mdp'])) || (($pseudo != $_POST['pseudo']) && ($mdp == $_POST['mdp'])) || (($pseudo == $_POST['pseudo']) && ($mdp != $_POST['mdp'])) || (($pseudo != $_POST['pseudo']) && ($mdp != $_POST['mdp'])) )
 
 
$sql = "UPDATE client SET adresse = '".$_POST['adresse']."', complement = '".$_POST['complement']."', ville = '".$_POST['ville']."', cp = '".$_POST['cp']."',
  tel = '".$_POST['tel']."', mail = '".$_POST['mail']."', pseudo = '".$_POST['pseudo']."', mdp = '".$_POST['mdp']."' WHERE id_stagiaire = '".$idstag."'";
  echo $sql;
  $quer = mysql_query($sql);
  $fe = mysql_affected_rows();
 
 
if   ($fe)
  {
 
    echo "<font color = red size = +1><center>Vos données ont bien été modifiées</center></font>";
 
    echo "<META http-equiv='refresh' content='5; URL=accueil.php'>";
   }
}

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
 
if(isset($_POST['valider'])){ // Si ta balise <input type=submit name='valider' ... />
	// htmlspecialchars() et strip_tags() conbinés ensemble permet de se protéger contre les attaques XSS et CSRF
	$pseudo = htmlspecialchars(strip_tags($_POST['pseudo']), ENT_QUOTES); 
	// tu fais pareil avec toutes les autres variables transmises par POST
 
	$sql = "UPDATE client SET adresse='".$_POST['adresse']."', complement='".$_POST['complement']."', ville='".$_POST['ville']."', cp='".$_POST['cp']."', tel='".$_POST['tel']."', mail='".$_POST['mail']."', pseudo='".$_POST['pseudo']."', mdp='".$_POST['mdp']."' WHERE id_stagiaire = '".$idstag."'";
	echo $sql;
	$quer = mysql_query($sql);
	$fe = mysql_affected_rows() or trigger_error("Les données n'ont pas été modifiées!", E_USER_ERROR);
 
    echo '<font color="red" size="1"><center>Vos données ont bien été modifiées</center></font>';
    header("locationaccueil.php");	
}

[oceane751]

oauis mais j'aime bien le meta qui me permet d'afficher ce message "Vos données ont bien été modifiées" puis de faire la redirection


sinon, zyongh je vais tester ce que tu ma donné, je reviens apres..

[oceane751]

ok ça marche

ppourrais tu m'expliquer cette ligne

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
$pseudo = htmlspecialchars(strip_tags($_POST['pseudo']), ENT_QUOTES);

j'ai lu que le htmlspecialchars convertit tous les caractères spéciaux en entité HTML, que strip_tags supprime les balises HTML et PHP d'une chaîne

mais je ne vois pas la logique de l'utilisation de ces fonctions dans mon cas.

merci d'avance pour ces explications..

[zyongh]

imagine que dans ton formulaire tu ais un champ de texte (type="text") ou une zone de texte (<textarea></textarea>).

Si la personne saisit:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<script>alert('XSS')</script>

et que tu n'as pas utilisé htmlspecialchars et strip_tags, tu viens de subir une attaque XSS car le script est entièrement pris en compte et peut donc être exécuté.

Il s'agit là d'un exemple inoffensif. Mais on peut supprimer toutes les données d'un disque dur en quelques lignes de script seulement.