Pb requête PHP

**le Ven Oct 26, 2007 13:59**

Bonjour,

voici ma requête :

Code: Tout sélectionner: $select = 'select * FROM rma WHERE login='.$login.' ORDER BY rma ASC limit '.$limite.','.$nombre;

avec cette requette j'obtiens le message d'erreur suivant :

Code: Tout sélectionner: Erreur : Champ 'webac' inconnu dans where clause

c'est une histoire de " ou de ' c'est sur mais ou?

pouvez vous m'aider?

**le Ven Oct 26, 2007 14:04**

essaye en remplacant petit a petit tes '.$XXXX.' par des vrai valeur 4 ou 5 ou 8 et tu vois celle ki bugue et celle qui bugue pas

**le Ven Oct 26, 2007 14:05**

ok merci mais je sais que ça viens de la variable login car si j'enleve le where ça fonctionne

**le Ven Oct 26, 2007 14:07**

déjà tu fais un echo $select pour savoir ce qui est executé !

**le Ven Oct 26, 2007 14:08**

ca peut venir d'apres.... essaye en remplacant login par une vrai valeur et verifie si le type des champ corresponde bien, et que login e bien initialiser ( avec un echo par ex)

**le Ven Oct 26, 2007 14:11**

voici ce que j'obtiens avec echo $select; :

Code: Tout sélectionner: select * FROM rma WHERE login=webac ORDER BY rma ASC limit 0,5

apparament rien d'anormal!

**le Ven Oct 26, 2007 14:13**

select * FROM rma WHERE login='webac' ORDER BY rma ASC limit 0,5

**le Ven Oct 26, 2007 14:15**

merci a tous en fait voici ma requête :

Code: Tout sélectionner: $select = 'select * FROM rma WHERE login="'.$login.'" ORDER BY rma ASC limit '.$limite.','.$nombre;

je ne sais pas si c'est très pro mais ça fonctionne.

**le Ven Oct 26, 2007 14:29**

seebz a trouvé, t as pas mis de ' ou " devant ta valeur. il essayai de comparer 2 champs de la table si tu ne les met pas.

donc ta technique est pro, pas de soucis

**le Ven Oct 26, 2007 14:46**

et pour corriger le titre : ce n'est en aucun cas un problème de requête PHP, mais bien un problème de requête Mysql.
PHP n'est pas un langage de requetes...

**le Ven Oct 26, 2007 16:47**

Si ta variable login vient d'un formulaire, il faut ajouter un addslashes pour éviter de se faire pirater :
if (!get_magic_quotes_gpc())
$login = addslashes($login);
$select = "select * FROM rma WHERE login='$login' ORDER BY rma ASC limit $limite,$nombre";

**le Ven Oct 26, 2007 16:54**

webmasterlamogere a écrit:Si ta variable login vient d'un formulaire, il faut ajouter un addslashes pour éviter de se faire pirater

je dirais même : un mysql_real_escape_string() :wink:

**le Ven Oct 26, 2007 17:03**

il y a un truc que je ne saisis pas dans ta requete SQL, quand tu fais un "ORDER BY rma " rma est bien un champs dans ta table ? je suis pas un pro, mais si tu essayes de faire un order sur une table .. ca risque de ne pas fonctionner je pense

**le Ven Oct 26, 2007 17:05**

ah et pour les autres, au sujet du addslashes,

J'ai toujours cherché des articles sur la sécurité php. J'utilise beaucoup de traitements de formulaires du même type ou je récupère mes varibles de la facon suivante :

$login = $_POST['login'];

$sql= "SELECT * FROM `user` WHERE `login` = '$login'";

cette requette pose problème niveau sécurité ?

**le Ven Oct 26, 2007 17:11**

regarde l'exemple 1595 ici :
http://fr.php.net/mysql_real_escape_string

Pb requête PHP

Pb requête PHP

Lectures recommandées sur ce thème :

Qui est en ligne