Discussion :

[bullrot]

Bonjour a tous.

Voila j'ai un formulaire basique :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
<p>
				<label class="text">First Name :</label><input class="text" name="IFirstname" type="text" size="30" maxlength="30" <?php if (isset($_POST['IFirstname'])) {echo 'value="' .$_POST['IFirstname']. '" ';}?> /><span class="warning">*</span>
			</p>
 
			<p>
				<label class="text">Last Name :</label><input class="text" name="ILastname" type="text" size="30" maxlength="30" <?php if (isset($_POST['ILastname'])) {echo 'value="' .$_POST['ILastname']. '" ';}?> /><span class="warning">*</span>
			</p>

ma requête pour ajouter les valeurs est celle ci :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
$fname=$_POST['IFirstname'];
	$lname=$_POST['ILastname'];
 
$sql=mysql_query("INSERT INTO `contacts`(Last_name, First_name)

Tout marche pour le mieux si ce n'est que lorsque je rempli un champ avec des ' ... alors ma requête ne passe plus.

Comment résoudre ce problème ?

Merci

[RideKick]

Il faut utiliser mysql_real_escape_string()

[LeGilou]

Bonjour,

Il faut utiliser la fonction mysql_real_escape_string.

Gillou.

[fregolo52]

Teint !! Je ne connaissais pas cette fonction !!
J'utilise la fonction php addslashes mais je sens que je ne l'utiliserai plus.
mysql_real_escape_string m'a l'air plus appropriée !!

[bullrot]

Merci pour toutes vos reponses.. alors j'ai essayer pas mal de truc.

J'ai d'abord essayer :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

mysql_real_escape_string()

je n'ai pas reussi a appliquer cette fonction il me marquer toujours une erreur.

ensuite j'ai essayer la fonction

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

addslashes($fname);

sans résultat : ici la requête passée mais ne m'enregistrer rien.

puis j'ai trouver ceci :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
$photo = str_replace ( "'" , "''" , $photo ); 
$lname = str_replace ( "'" , "''" , $lname );
$fname = str_replace ( "'" , "''" , $fname );

qui marche.
maitenant je sais pas si avec les autre caractéres speciaux cela marchera toujours mais j'étais surtout embeter avec les simple guillement.

[SphynXz]

et si tu nous donnais l'erreur que cela t'indiquait? ça t'éviterais de ré-inventer la roue par un système qui ne rouleras pas aussi bien

[RideKick]

En reprenant ton code :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
$fname=mysql_real_escape_string($_POST['IFirstname']);
$lname=mysql_real_escape_string($_POST['ILastname']);
 
$sql=mysql_query("INSERT INTO `contacts`(Last_name, First_name)

[bullrot]

enfaite je passe par une fonction!

Donc mon formulaire :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
<p>
					<label class="text">First Name :</label><input class="text" name="IFirstname" type="text" size="30" maxlength="30"<?php if (isset($_POST['IFirstname'])) {echo 'value="' .$_POST['IFirstname']. '" ';}?>/><span class="warning">*</span>
				</p>
 
				<p>
					<label class="text">Last Name :</label><input class="text" name="ILastname" type="text" size="30" maxlength="30"<?php if (isset($_POST['ILastname'])) {echo 'value="' .$_POST['ILastname']. '" ';}?>/><span class="warning">*</span>
				</p>

ensuite j'ai mes conditions et mes récupérations de variables et j'apelle ma fonction addsales :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
// Check si tout les Champs requis sont définis et non nul
	if (isset($_POST['IGender']) && isset($_POST['IFirstname']) && isset($_POST['ILastname']) && isset($_POST['ITitle']) && $_POST['IGender']!="" && $_POST['IFirstname']!="" && $_POST['ILastname']!="" && $_POST['ITitle']!="")
	{
 
	// Récupération des données  	
 	$lname=$_POST['ILastname'];
 	$fname=$_POST['IFirstname'];
 
// Connecxion au serveur mysql
 
  	// Connexion a la base de donnée : capgemini
 
		// Verification si le Nom est deja utilisé
  		$Resultat=mysql_query("SELECT * FROM `sales` WHERE `Last_name` LIKE '$lname'");
  		if (mysql_numrows($Resultat)==0) // Le Nom n'est pas encore utilisé => on enregistre le Sale	
  		{
		AddSales($photo,$lname,$fname,$gender,$DisciplineCs,$DisciplineOs,$DisciplineTs,$title,$mobile,$mail,$active);	   /* Appel de la fonction qui se charge d'ajouter un sales */	
		}

et ensuite voici ma fonction addsales simplifiée :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
function AddSales($photo,$lname,$fname,$gender,$DisciplineCs,$DisciplineOs,$DisciplineTs,$title,$mobile,$mail,$active)
{  	
 
$photo = str_replace ( "'" , "''" , $photo ); 
$lname = str_replace ( "'" , "''" , $lname );
$fname = str_replace ( "'" , "''" , $fname );
 
 
				$sql=mysql_query("INSERT INTO `sales`(Last_name, First_name, Gender, Cs, Os, Ts, Title, Mobile, Email, Photo, Datecreation, Active) VALUES('$lname','$fname', '$gender', '$DisciplineCs', '$DisciplineOs', '$DisciplineTs', '$title', '$mobile', '$mail', '$nomphoto', '".date("Y-m-d")."', '$active')");

[RideKick]

Je me permets de te re-soumettre mon code

En reprenant ton code :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
$fname=mysql_real_escape_string($_POST['IFirstname']);
$lname=mysql_real_escape_string($_POST['ILastname']);
 
$sql=mysql_query("INSERT INTO `contacts`(Last_name, First_name)

[bullrot]

mille excuse !

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
$fname=mysql_real_escape_string($fname);
$lname=mysql_real_escape_string($lname);

marche parfaitement!

c'est juste que j'avais fait ceci :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

mysql_real_escape_string($lname);

Merci a tous :p je passe en resolu