<?php $reference= $_POST['ref']; include('include/config.php'); $sql "SELECT * FROM table1, table2, table3, table4 WHERE ref ".$reference.""; $req = mysql_query($sql) or die('Erreur SQL ! '.$sql.' '.mysql_error()); if (!$req) { die('Échec de la requête : ' . mysql_error()); } $data= mysql_fetch_row($req); echo $data[1]; ?>
<?php //récupération produit $ref = $_POST[$reference]; $qan = $_POST[$quantite]; // la connexion include ('config.php'); // recherche du produit $sql "SELECT ref, nom, foto, prix, promo FROM table1 WHERE ref '$ref' UNION SELECT ref, nom, foto, prix, promo FROM table2 WHERE ref = '$ref' UNION SELECT ref, nom, foto, prix, promo FROM table3 WHERE ref = '$ref' UNION SELECT ref, nom, foto, prix, promo FROM table4 WHERE ref = '$ref'"; $req = mysql_query($sql) or die('Erreur SQL ! '.$sql.' '.mysql_error()); if (!$req) { die('Echec de la requête : ' . mysql_error()); } $data= mysql_fetch_row($req); if ($data[4]=="") { $prix = $data[3]; } else { $prix = $data[4]; } $tot=$prix*$qan; // afficher le produit echo 'Nom du produit : '; echo $data[1]; echo ' '; echo 'Prix : '; echo $prix; ?>
si je fait ceci, est-ce que c'est- bon ? je ne suis pas sur d'avoir bien compris les injections
toto' OR 1 = 2 UNION SELECT DATABASE(), USER(), CURRENT_USER(), VERSION(), SCHEMA() -- titi
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question<?php //récupération produit $ref = mysql_real_escape_string($_POST['reference']); $qan = mysql_real_escape_string($_POST['quantite']); // la connexion include ('config.php'); // recherche du produit $sql "SELECT ref, nom, foto, prix, promo FROM table1 WHERE ref '$ref' UNION SELECT ref, nom, foto, prix, promo FROM table2 WHERE ref = '$ref' UNION SELECT ref, nom, foto, prix, promo FROM table3 WHERE ref = '$ref' UNION SELECT ref, nom, foto, prix, promo FROM table4 WHERE ref = '$ref'"; $req = mysql_query($sql) or die('Erreur SQL ! '.$sql.' '.mysql_error()); if (!$req) { die('Echec de la requête : ' . mysql_error()); } $data= mysql_fetch_row($req); if ($data[4]=="") { $prix = $data[3]; } else { $prix = $data[4]; } $tot=$prix*$qan; // afficher le produit echo 'Nom du produit : '; echo $data[1]; echo ' '; echo 'Prix : '; echo $prix; ?>
<?php //récupération produit $ref = mysql_real_escape_string($_POST['reference']); $qan = $_POST['quantite']; if (is_int($qan)) { $qanok = $qan; } // Je voudrais savoir en php, mais je ne sait pas encore faire ci-dessous else { echo '<script language=javascript> alert ("Vous n'avez pas choisi la quantité !");</script>'; echo '<SCRIPT LANGUAGE="JavaScript"> document.location.href="commande.php" </SCRIPT>'; exit; } // la connexion include ('config.php'); // recherche du produit $sql "SELECT ref, nom, foto, prix, promo FROM table1 WHERE ref '$ref' UNION SELECT ref, nom, foto, prix, promo FROM table2 WHERE ref = '$ref' UNION SELECT ref, nom, foto, prix, promo FROM table3 WHERE ref = '$ref' UNION SELECT ref, nom, foto, prix, promo FROM table4 WHERE ref = '$ref'"; $req = mysql_query($sql) or die('Erreur SQL ! '.$sql.' '.mysql_error()); if (!$req) { die('Echec de la requête : ' . mysql_error()); } $data= mysql_fetch_row($req); if ($data[4]=="") { $prix = $data[3]; } else { $prix = $data[4]; } $tot=$prix*$qanok; // afficher le produit echo 'Nom du produit : '; echo $data[1]; echo ' '; echo 'Prix : '; echo $prix; ?>