Bonjour,

Je développe un petit module pour mon site (pn 0764) et je rencontre un bête problème de requète Mysql :

J'ai une liste d'images à afficher selon des critères définis par un bouton select. Ma requète est du genre : ou koi est une table et couleur un champs "varchar(50)".

Losque cette requete est écrite en dur dans le code, tout va bien, les images souhaitées s'affichent.

Maintenant, lorsque je remplace par :



ma variable venant du select :



Tout va bien également, les images souhaitées s'affichent aussi (patience, j'y arrive... )

Là où ça se complique pour moi, c'est que souhaitant avoir plusieurs critères et donc plusieurs variables, j'ai imaginé affecter au sélection des valeurs plus complexes :



ou ma variable prend la valeur :


Lorsque je valide le formulaire, aucune image ne s'affiche, et pourtant, si j'affiche ma requete sur ma page, j'obtiens bien :

select * from koi where couleur='rouge'

Pourquoi cette requète ne fonctionne pas alors qu'à priori, la syntaxe est exactement la même que la requète "en dur" ?

Voilà, j'espère avoir été clair. Je vous remercie d'avance de votre aide, vous l'aurez compris, je ne suis pas un pro du code...


Eric, le webmaster aquatique

Il faut que tu obtiennes ça

ou ça :


La 1ere ligne de code pour moi parraitrait abérante (syntaxiquement parlant), mais bon je ne suis pas un dieu aussi niveau code ^^ ...

miko09 a écrit :

Il faut que tu obtiennes ça

Code: [Télécharger] [Cacher]

Code: [Télécharger] [Afficher]

1. <option value="couleur=\'rouge\'">rouge</option> 

ou ça :

Code: [Télécharger] [Cacher]

Code: [Télécharger] [Afficher]

1. <option value="rouge">rouge</option> 

La 1ere ligne de code pour moi parraitrait abérante (syntaxiquement parlant), mais bon je ne suis pas un dieu aussi niveau code ^^ ...

La deuxième est la bonne... la première fait peur...

Dans tous les cas, jeter un oeil sur le module Example:

Les valeurs where devraient toujours passer comme ceci:



Et à l'affichage, j'ai l'impression que ce n'est pas par un template et donc, faudrait d'autant plus faire:



Plus la peine quand on utilise un template car il me semble que la variable est vérifiée lors de son assignation:



sinon


Bonne chance

(en passant, quelqu'un dans les parages a son email qui déconne... à vérifier svp, merci.)


Chestnut !
Administrateur
Aucun Support par message privé...
Même en cas de pensée suicidaire !
Règles à suivre

En fait, c'était bien la 2ème syntaxe que je recherchais afin de renvoyer directement par le bouton select un bout de ma requète et non pas juste la valeur d'une variable. C'était certes un peu bizare, mais bon...

Depuis j'ai changé de stratégie pour revenir à quelque chose de plus classique.

Merci de m'avoir répondu.

Quand à la syntaxe :


J'avoue ne pas l'utiliser (en fait, je ne la connaissait même pas... ) car j'écris un petit module en php qui va venir s'insérer dans mon pn mais sans s'intégrer parfaitement à l'ensemble du site (désolé...).

A priori, il fonctionne maintenant.

Encore merci

Eric, le webmaster aquatique

Je mettais pas tromper alors ! Je suis pas le seul à avoir pris peur
Bonne chance Eric :)
Aparement tu as trouvé une meilleur solution !

petit passage rapide aussi...
attention aussi dans le cas de ce formulaire de protéger contre les injections sql... je ferai un petit topo pour compléter quand je pourrais mais vous pouvez déjà vous documenter là dessus !

++

---

Gilles  ><>°

Pour revenir à l'injection SQL, le risque de tout site est qu'un pirate vienne (ne dites pas qu'il y en a pas sur votre site, ils sont de partout) et dans un formulaire envoie à la suite d'une commande d'autre informations.
Imagine que tu envoie à ton fomulaire

le formulaire va donner index.php...&select=couleur%xx%yyred%yy ou les %xx et %yy sont l'encodage d'url
dans l'appel, il n'y aurait pas de vérification celà donnerai


Le hackeur n'aurai qu'a rajouter à l'url le code à insérer:
index.php...&select=couleur%xx%yyred%yy;DELETE*FROM tt

et le vidage de la table se ferait comme par magie...

Tout ca pour vous dire de vien vérifier que les paramètres insérés sont validés et protégés !

++

---

Gilles  ><>°

On parle beaucoup de l'SQL Injection mais on explique rarement comment l'éviter c'est bien dommage...

Je ne protège jamais mes select, etc. je ne faisais attention qu'aux variables que j'enregistrais dans ma bdd, mais en effet il suffirait d'ajouter un ";DELETE * FROM table" dans l'url derrière la variable passée en get pour le select afin de vider la table. Que faudrait-il appliquer à la variable alors avant de l'utiliser pour un select ?

Voici ce que je fais lorsque j'enregistre une donné dans sql pour la protéger :


Je test si magic_quotes_gpc est actif ou non et j'applique mysql_real_escape_string à la variable. Petit plus, je traduis les caractères en html.

-------------------------------------------
...n'oubliez pas que l'outil Recherche est votre ami !
...bien souvent il répond à nos questions avant même que l'on ne se les pose ! ^^

Tout ça est déjà vérifier ou étudié par les fonctions fourni par l'API PostNuke:

pnVarCleanFromInput (pour les variables passées par un formulaire ou l'url)
et
pnVarPrepForStore (lors de l'enregistrement dans la base)...

et d'autres encore.

C'est pourquoi il est obligatoire (je dis obligatoire car si on n'utilise pas ces fonctions, vous vous mettez à risque), de TOUJOURS récupérer les valeurs d'un formulaire ou de l'url via:



Et lors de l'enregistrement dans une table:



Si on sait que la valeur doit être un entier, une petite assurance:



etc...



Chestnut !
Administrateur
Aucun Support par message privé...
Même en cas de pensée suicidaire !
Règles à suivre

Merci pour ces judicieux conseils, mais j'ai besoin d'aide pour les mettre en oeuvre...

Dans mon code , je recupère toutes mes variables avec ceci :


couleur étant le nom de mon bouton select et également le nom d'un champ de ma table.

Est-ce à la place de cette ligne que je dois mettre :

?

J'utilise la syntaxe précédente notamment du fait que j'utilise du texte avec des caractères spéciaux (accents, apostrophes, etc...) et qu'ils sont codés dans ma base.
.
Est-ce que cette nouvelle syntaxe va également se charger de ce pb ?

Merci d'avance

Eric, le webmaster aquatique

Oui, je pense que ca doit être bon... mais ... a tester !!

++

---

Gilles  ><>°