Pb requête PHP

[webac]

Bonjour,

voici ma requête :

Code: Tout sélectionner

$select = 'select * FROM rma WHERE login='.$login.' ORDER BY rma ASC limit '.$limite.','.$nombre;

avec cette requette j'obtiens le message d'erreur suivant :

Code: Tout sélectionner

Erreur : Champ 'webac' inconnu dans where clause

c'est une histoire de " ou de ' c'est sur mais ou?

pouvez vous m'aider?

[paranoise]

essaye en remplacant petit a petit tes '.$XXXX.' par des vrai valeur 4 ou 5 ou 8 et tu vois celle ki bugue et celle qui bugue pas

[webac]

ok merci mais je sais que ça viens de la variable login car si j'enleve le where ça fonctionne

[e-kiwi]

déjà tu fais un echo $select pour savoir ce qui est executé !

[paranoise]

ca peut venir d'apres.... essaye en remplacant login par une vrai valeur et verifie si le type des champ corresponde bien, et que login e bien initialiser ( avec un echo par ex)

[webac]

voici ce que j'obtiens avec echo $select; :

Code: Tout sélectionner

select * FROM rma WHERE login=webac ORDER BY rma ASC limit 0,5

apparament rien d'anormal!

[seebz]

select * FROM rma WHERE login='webac' ORDER BY rma ASC limit 0,5

[webac]

merci a tous en fait voici ma requête :

Code: Tout sélectionner

$select = 'select * FROM rma WHERE login="'.$login.'" ORDER BY rma ASC limit '.$limite.','.$nombre;

je ne sais pas si c'est très pro mais ça fonctionne.

[e-kiwi]

seebz a trouvé, t as pas mis de ' ou " devant ta valeur. il essayai de comparer 2 champs de la table si tu ne les met pas.

donc ta technique est pro, pas de soucis

[ltressens]

et pour corriger le titre : ce n'est en aucun cas un problème de requête PHP, mais bien un problème de requête Mysql.
PHP n'est pas un langage de requetes...

[webmasterlamogere]

Si ta variable login vient d'un formulaire, il faut ajouter un addslashes pour éviter de se faire pirater :
if (!get_magic_quotes_gpc())
$login = addslashes($login);
$select = "select * FROM rma WHERE login='$login' ORDER BY rma ASC limit $limite,$nombre";

[Patrice A.]

Si ta variable login vient d'un formulaire, il faut ajouter un addslashes pour éviter de se faire pirater

je dirais même : un mysql_real_escape_string()

[Kaliiii]

il y a un truc que je ne saisis pas dans ta requete SQL, quand tu fais un "ORDER BY rma " rma est bien un champs dans ta table ? je suis pas un pro, mais si tu essayes de faire un order sur une table .. ca risque de ne pas fonctionner je pense

[Kaliiii]

ah et pour les autres, au sujet du addslashes,

J'ai toujours cherché des articles sur la sécurité php. J'utilise beaucoup de traitements de formulaires du même type ou je récupère mes varibles de la facon suivante :

$login = $_POST['login'];

$sql= "SELECT * FROM `user` WHERE `login` = '$login'";

cette requette pose problème niveau sécurité ?

[webmasterlamogere]

regarde l'exemple 1595 ici :
http://fr.php.net/mysql_real_escape_string