coockiesch
Messages postés2268Date d'inscriptionmercredi 27 novembre 2002StatutMembreDernière intervention13 septembre 20134 12 sept. 2006 à 22:34
Mmmh, je vais peut-être dire une connerie mais y'a pas déjà eu cette source il y apas longtemps?
@++
R@f
kankrelune
Messages postés1293Date d'inscriptionmardi 9 novembre 2004StatutMembreDernière intervention21 mai 2015 12 sept. 2006 à 19:02
oups mysql_real_escape_string() et non pas mysql_escape_string() dans le premier exemple... .. .
@ tchaOo°
kankrelune
Messages postés1293Date d'inscriptionmardi 9 novembre 2004StatutMembreDernière intervention21 mai 2015 12 sept. 2006 à 19:01
Ulla... je n'ais pas regardé la source en détail mais à vu de nez il y a pas mal d'erreurs...
Passons le html car ce n'est pas ce qui nous interesse...
if (($NAME = @$_POST['nome']) && ($_POST['nome']!=""))
{
$pre = $_POST['prenom'];
$adr = $_POST['adresse'];
mysql_query("INSERT INTO `tt` VALUES ("$NAME", "$pre", "$adr", "")") or die ('error d\'insert');
Ô_o
mieux vaut faire
if(isset($_POST['nome']) && !empty($_POST['nome']))
{
$pre = mysql_escape_string($_POST['prenom']);
$adr = mysql_escape_string($_POST['adresse']);
$name = mysql_escape_string($_POST['nome']);
mysql_query('INSERT INTO `tt` VALUES (\''.$name.'\', \''.$pre.'\', \''.$adr.'\', \'\')') or die ('error d\'insert');
A noter l'utilisation de mysql_real_escape_string() pour éviter les injections sql... .. .
Pareil pour...
if ($code = @$_POST['code'])
{
mysql_query("delete from tt where n = '$code'");
}
if(isset($_POST['code']) && !empty($_POST['code']))
mysql_query('DELETE FROM `tt` WHERE n=\''.mysql_real_escape_string($_POST['code']).'\'');
Utiliser <?php et non pas <?... je ne suis pas fana des die à tout vas comme gestionnaire d'erreur mais c'est un avis perso c'est donc discutable on en tiendra pas compte... .. .
Plutot que de faire un select * alors que tu connais les champs à selectionner autant faire...
$t = mysql_query('SELECT champ1,champ2,etc... FROM `tt`')
tu gagnera en performance... .. .
Sinon il faudrait prévoir un language par défault au cas ou celui demandé n'existerait pas... ça évitera quelques erreurs... .. .
Voili voilou... .. .
@ tchaOo°
ps : plutot que de mettre les fichiers de la base de données met un dump ça sera plus propre... .. .
12 sept. 2006 à 22:34
@++
R@f
12 sept. 2006 à 19:02
@ tchaOo°
12 sept. 2006 à 19:01
Passons le html car ce n'est pas ce qui nous interesse...
if (($NAME = @$_POST['nome']) && ($_POST['nome']!=""))
{
$pre = $_POST['prenom'];
$adr = $_POST['adresse'];
mysql_query("INSERT INTO `tt` VALUES ("$NAME", "$pre", "$adr", "")") or die ('error d\'insert');
Ô_o
mieux vaut faire
if(isset($_POST['nome']) && !empty($_POST['nome']))
{
$pre = mysql_escape_string($_POST['prenom']);
$adr = mysql_escape_string($_POST['adresse']);
$name = mysql_escape_string($_POST['nome']);
mysql_query('INSERT INTO `tt` VALUES (\''.$name.'\', \''.$pre.'\', \''.$adr.'\', \'\')') or die ('error d\'insert');
A noter l'utilisation de mysql_real_escape_string() pour éviter les injections sql... .. .
Pareil pour...
if ($code = @$_POST['code'])
{
mysql_query("delete from tt where n = '$code'");
}
if(isset($_POST['code']) && !empty($_POST['code']))
mysql_query('DELETE FROM `tt` WHERE n=\''.mysql_real_escape_string($_POST['code']).'\'');
Utiliser <?php et non pas <?... je ne suis pas fana des die à tout vas comme gestionnaire d'erreur mais c'est un avis perso c'est donc discutable on en tiendra pas compte... .. .
Plutot que de faire un select * alors que tu connais les champs à selectionner autant faire...
$t = mysql_query('SELECT champ1,champ2,etc... FROM `tt`')
tu gagnera en performance... .. .
Sinon il faudrait prévoir un language par défault au cas ou celui demandé n'existerait pas... ça évitera quelques erreurs... .. .
Voili voilou... .. .
@ tchaOo°
ps : plutot que de mettre les fichiers de la base de données met un dump ça sera plus propre... .. .