Discussion :

[Lolie11]

Bonjour,

Voilà ma requête :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
INSERT INTO complaint(Complaint_reception_date, Description, Incident_Request_number, Natco, LOS, 	Complainant_name, Recording_date, Recording_time, Complaint_year, Complaint_number, Status, Recorded_by) VALUES ('$DateRec','$Desc','$IncNb','$Natco','$Los','$CompName','$CurrentDate','$CurrentTime','$CurrentYear','$NbC','Opened','$User')

$Desc est définit grâce à un TEXTAREA donc c'est un texte complet, sauf que dès que je saisis un ' dans ce texte ben la requête ne veut plus d'exécuter. Il fois bien y avoir un moyen non ?

Si l'utilisateur rentre dans le champs description :
Test de l'impression

Le ' entre le l et le i fait planter ma requête...

[stolx_10]

Il faut utiliser la méthode addslashes sur ta variable contenant le texte.

par exemple

$texte = addslashes($_POST['variable']);

[nicocaine]

Il faut que tu fasse une petite fonction de substitution qui remplace ' par un espace par exemple. Et cette fonction tu l'applique sur tous les champs qui sont suceptible de contenir ' .

[MadCat34]

ya une fonction PHP pour regler ce probleme.

avant d'inserer dans la base

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
$Desc = addslashes($Desc) // $Desc = Test de l\'impression

et au moment ou tu affiches les données

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$Desc = stripslashes($Desc)

addslashes() rajoute des \ devant les ' et "
stripslashes() les retire

[julp]

ya une fonction PHP pour regler ce probleme.

avant d'inserer dans la base

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
$Desc = addslashes($Desc) // $Desc = Test de l\'impression

C'est vrai sauf que vous ne conseillez pas la plus adéquate : mysql_real_escape_string (la connexion à la base doit avoir été établie au préalable) !

stripslashes n'est pas réellement nécessaire, car l'application de mysql_real_escape_string ne s'impose que lors de l'utilisation des données dans une requête :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$req = mysql_query(sprintf('SELECT * FROM ma_table WHERE description LIKE \'%%s%\'', mysql_real_escape_string($_POST['desc'])));

[Lolie11]

Ok voilà ce que j'ai fait :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$result2=mysql_query(sprintf("INSERT INTO complaint(Description, Complaint_reception_date, Incident_Request_number, Natco, LOS, 	Complainant_name, Recording_date, Recording_time, Complaint_year, Complaint_number, Status, Recorded_by) VALUES ('$DateRec',\'%s\','$IncNb','$Natco','$Los','$CompName','$CurrentDate','$CurrentTime','$CurrentYear','$NbC','Opened','$User')",mysql_real_escape_string("$Desc", "$lien"),"$DateRec", "$IncNb","$Natco","$Los","$CompName","$CurrentDate","$CurrentTime","$CurrentYear","$NbC",'Opened',"$User"));

Et voilà mon erreur :

Warning: mysql_real_escape_string() expects parameter 2 to be resource, string given in c:\home\easyphp1-8\www\treatcreate.php on line 66

[julp]

Si $lien fait référence à la connexion MySQL il faut enlever les quotes pour qu'il n'y est pas interpolation de la variable (vous obtenez ainsi une chaîne de caractères à la place d'une ressource d'où le message d'erreur) :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

mysql_real_escape_string("$Desc", $lien)

En général, nous n'avons pas besoin d'utiliser ce paramètre (qui est facultatif) surtout pour les personnes qui n'établissent qu'une seule connexion MySQL.