Discussion :

[kcizth]

j'essai de faire ma première requête en php sur une base mysql

je récupère deux variables de session que je veux mettre dans une table

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
 
$val_1 = $_SESSION['login_user'];
$val_2 = $_SESSION['login_pas'];
 
// Connection à la base de données
$c=mysql_connect($host,$user,$pass) or die("Erreur de connection au serveur !!!");
mysql_select_db($base,$c) or die("Erreur de connection à la base de données !!!");
 
// on crée la requête SQL 
$sql = 'INSERT INTO utilisateur(login, pass) VALUES ($val_1, $val_2)';

sur l'ordre INSERT, j'ai le message d'erreur
INSERT INTO utilisateur(login, pass) VALUES ($val_1, $val_2)
Champ '$val_1' inconnu dans field list

Merci de votre aide

[chat hotplug]

Bonjour,

pour que les valeurs des variables soient automatiquement remplacées utilisez les doubles guillemets pour creer la requete.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
$sql = "INSERT INTO utilisateur(login, pass) VALUES ($val_1, $val_2)";

Sinon il faut concaténer (et backslasher les ' comme ca: \' lorsque vous voulez ecrire un ' dans la requete)

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
$sql = 'INSERT INTO utilisateur(login, pass) VALUES ('.$val_1.', '.$val_2.')';

8)

[sekaijin]

Bonjour,

...
Sinon il faut concaténer (et backslasher les ' comme ca: \' lorsque vous voulez ecrire un ' dans la requete)

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
$sql = 'INSERT INTO utilisateur(login, pass) VALUES ('.$val_1.', '.$val_2.')';

8)

de façon générale j'utilise toujours la concaténation qui à l'avantage d'être lisible
mais les ' sont utilisé par SQL j'utilise donc "
mais en plus je conseille vivement d'utiliser les fonction de la librairie sql utilisé pour traiter les paramètres.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
$sql = "INSERT INTO utilisateur(login, pass) VALUES ('".pg_escape_string($val_1)."', '".pg_escape_string($val_2).'")';

8)[/quote]

idem avec my_escape_string
avec les valeur "zac'meur" comme login et "test" comme passe
on obtient avec la méthode de hotplug

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

INSERT INTO utilisateur(login, pass) VALUES (zac\'meur, test);

avec la solution ci-dessus pour PostgreSQL on aura

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

INSERT INTO utilisateur(login, pass) VALUES ('zac''meur', 'test');

et avec mySQL on aura

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

INSERT INTO utilisateur(login, pass) VALUES ('zac\'meur', 'test');

l'avantage est que tous les caractères qui pose problème à un moteur SQL sont tous traité par la fonction escape_string de sa librairie. alors qu'en le faisant à la main on prendre le risque d'en oublier quelques uns

A+JYT