le 19/01/2007 à 20:19
Modiffier cours 6 pour PDO
C'est quoi PDO ?
LA GLOBULE
Inscris le 25/09/2002 à 10:40
-
Site web
-
Nombre de sujets47
-
Nombre de messages8 345
-
Nombre de commentaires142
-
Nombre de news8 346
-
Niveau en PHPExcellent
Ses derniers messages sur les forums
le 17/01/2007 à 08:01
pb de variable et d'insert
Je pense que tu n'escape pas tes données avant de les insérer en base de données.
Exemple :
$sql = "INSERT INTO blu ('champ1', 'champ2') VALUES ('".$_POST['toto']."', '".$_POST['titi']."')";
Ceci n'est pas bon, car si $_POST['toto'] ou $_POST['titi'] contiennent une ', ta requete SQL est fuckée, car elle devient :
INSERT INTO blu ('champ1', 'champ2') VALUES ('blublu ' toto', 'blu ' titi')"
Vois comment mysql se paume au niveau des '.
Bref, escape les données en faisant :
$sql = "INSERT INTO blu ('champ1', 'champ2') VALUES ('".mysql_escape_string($_POST['toto'])."', '".mysql_escape_string($_POST['titi'])."')";
PS : Pour avoir les messages d'erreurs SQL, mets des or die (mysql_error) sur tes mysql_query. Fais aussi des echo $sql, ca aide pour voir les requetes foireuses. Ah oui aussi, extract n'est pas une "bonne solution" : debrouille toi plutot pour faire en sorte que ta requete se lance si et seulement si ton $_POST existe.
Exemple :
$sql = "INSERT INTO blu ('champ1', 'champ2') VALUES ('".$_POST['toto']."', '".$_POST['titi']."')";
Ceci n'est pas bon, car si $_POST['toto'] ou $_POST['titi'] contiennent une ', ta requete SQL est fuckée, car elle devient :
INSERT INTO blu ('champ1', 'champ2') VALUES ('blublu ' toto', 'blu ' titi')"
Vois comment mysql se paume au niveau des '.
Bref, escape les données en faisant :
$sql = "INSERT INTO blu ('champ1', 'champ2') VALUES ('".mysql_escape_string($_POST['toto'])."', '".mysql_escape_string($_POST['titi'])."')";
PS : Pour avoir les messages d'erreurs SQL, mets des or die (mysql_error) sur tes mysql_query. Fais aussi des echo $sql, ca aide pour voir les requetes foireuses. Ah oui aussi, extract n'est pas une "bonne solution" : debrouille toi plutot pour faire en sorte que ta requete se lance si et seulement si ton $_POST existe.
le 15/01/2007 à 23:38
acceder a une db en lecture seule
Ben le mettre hors du DocumentRoot.
le 15/01/2007 à 21:18
acceder a une db en lecture seule
Oui, c'est possible.
Consulte la doc MySQL pour créer un utilisateur qui ne peut que lire les données.
(en même temps, ton mot de passe mysql, a priori, on ne peut pas le voir si il est dans un .php dans un define ou une variable, à moins bien sur d'afficher cette constante ou cette variable... Et au pire, si tu te fais rooter, le mec le trouvera, que tu le mettes dans un .php ou ailleurs. Ou sinon, tu peux le mettre dans un fichier, fichier qui n'est pas "visible" via apache et que tu include via php)
Consulte la doc MySQL pour créer un utilisateur qui ne peut que lire les données.
(en même temps, ton mot de passe mysql, a priori, on ne peut pas le voir si il est dans un .php dans un define ou une variable, à moins bien sur d'afficher cette constante ou cette variable... Et au pire, si tu te fais rooter, le mec le trouvera, que tu le mettes dans un .php ou ailleurs. Ou sinon, tu peux le mettre dans un fichier, fichier qui n'est pas "visible" via apache et que tu include via php)
le 15/01/2007 à 21:16
additionner les valeur d'un champ de type TIME
Cette page peut t'aider : http://dev.mysql.com/doc/refman/5.0/fr/date-and-time-functions.html
le 14/01/2007 à 17:50
N'utiliser que des if
Ben si tu as besoin d'un if, tu veux utiliser quoi à part un if ? :)
le 09/01/2007 à 12:39
Insertion numérique
Utilise le type double.
le 07/01/2007 à 22:41
Pas de transmission de donnees
Deja, change ta requete en :
$sql2 = "Update ". $scroll_table ." ".
"SET titre = '". mysql_escape_string($titre) ."' ,
url = '". mysql_escape_string($url) ."' ,
message = '". mysql_escape_string($message) ."' ".
"WHERE id=".mysql_escape_string($id);
Ensuite, un echo de $sql2 donne quoi ?
$sql2 = "Update ". $scroll_table ." ".
"SET titre = '". mysql_escape_string($titre) ."' ,
url = '". mysql_escape_string($url) ."' ,
message = '". mysql_escape_string($message) ."' ".
"WHERE id=".mysql_escape_string($id);
Ensuite, un echo de $sql2 donne quoi ?
le 07/01/2007 à 13:20
Newsletter - un seul envoi mais plusieurs destinataires
Aussi oui :)
le 07/01/2007 à 12:27
Newsletter - un seul envoi mais plusieurs destinataires
Je t'invite à lire le cours numéro 6 de ce site :)
