probleme mysql

[Roworll]

Pour ma part, je rajouterai une gestion pour les guillemets.
si le serveur que tu utilises est en Magic Quotes On et que tu passe sur une version avec cette option à off, ça risque de faire mal

Code PHP :

<?php 

    //exemple

    if(!get_magic_quotes_gpc()){

        $name=addslashes($_POST['name']);

        $pass=addslashes($_POST['pass']);

    } else {

        $name=addslashes($_POST['name']);

        $pass=addslashes($_POST['pass']);

    } 

[zneman]

ok merci :p mais je cherche deja a trouver pourquoi il me met le message d'erreur (voir premier message)

[Roworll]

Arf ok, je me suis un peu emballé ^^

Ce genre de truc ressemble effectivement à un soucis de connexion à la DB.

Vérifies bien que tu as un Link actif créé par mysql_connect() vers ta base de données et que tu as bien sélectionné la base en question (mysql_select_db()).

Et pour reprendre les sages paroles d'Aramiil :

(2) tu n'utilises pas de variable pour nommer ton lien à la bdd, et donc tu n'en spécifie pas, et c'est une mauvaise chose ;-)

[zneman]

lol merci de tes conseils ^^ j'ai réussit il y a deja quelques minutes maintenant :p
En effet erreur toute bete:

Code PHP :

<?php 

require "sql.php";

mysql_connect($host,$username,$password);

mysql_select_db($bdd_name);

    $email = $_POST['email'];

    $prenom = $_POST['prenom'];

    $nom = $_POST['nom'];

    $jour = $_POST['jour'];

    $mois = $_POST['mois'];

    $annees = $_POST['annees'];

    $login = $_POST['login'];

    $pass = $_POST['pass'];

    $url =  $_POST['url'];

    $departement = $_POST['departement'];

    $newsletters = $_POST['newsletters'];

    $id = 0;

    $date = date("d/m/Y");

    $race = $_POST['race'];

    $conditions = $_POST['conditions'];



    if  (($login=="")||($pass=="")||($email=="")||($race=="")||($conditions==""))

        {

            if($login=="") print ("<p class=\"erreur\">Le champ du pseudo n'est pas remplis</p><br />\n");

            if($pass=="") print ("<p class=\"erreur\">Le champ du mot de passe n'est pas remplis</p><br />\n");

            if($email=="") print ("<p class=\"erreur\">Le champ de l'adresse email n'est pas remplis</p><br />\n");

            if($race=="") print ("<p class=\"erreur\">Vous n'avez pas choisi votre race</p><br />\n");

            if($conditions=="") print ("<p class=\"erreur\">Il faut accepter les conditions afin de pouvoir s'inscrire !</p><br />\n");

        }

    else

        {

            echo "Votre inscription s'est bien déroulée. Bienvenue !";

            mysql_query("INSERT INTO membres(id,login,pass,email,url,jour,mois,annees,date,prenom,nom,departement,race,conditions ) VALUES ('$id++','$login','$pass','$email','$url','$jour','$mois','$annees','$date','$prenom','$nom','$departement','$race','$conditions')");

            mysql_close();

        }

?>

[gtsoul]

Quelques remarques...

require_once au lieu de require, cela évite les inclusions en boucle, dans ton exemple pas de risques, mais ca t'arrivera un jour

$var = htmlentities($_POST['var']); au lieu de $var = $_POST['var'];
afin d'éviter les injections de code et injections sql

tu insères un $id++ après $id=0; donc tu insereras toujours $id=1
passe ton champ id en autoincrement et oublies le dans ta requete insert (comme ca l'id s'incrementera automatiquement)

toujours dans la requete insert, les string (caractères) comportent des simple quote ' ' mais pas les valeurs numériques.
cela ne va pas changer grand chose car php est très permittif, mais ca évite un castage qui ne sert à rien
" $int " : int(type de départ)->string(conversion car requete = string)->int(type arrivee dans la base) : 2 casts
" '$string' " : string (pas de cast)
" '$int' " : int(type de départ)->string(conversion pour requete) ->string( les ' ' annulent la conversion)->int(conversion forcee pour rentrer dans la base)

attacher ton identifiant de connection au mysql_query

[NicoMSEvent]

il y a un tutorial pour PHP5 en POO très bien fait, mais le hic : il faut PHP5 pour le faire marcher.
J'ai rajouté un nouveau tutorial : un code fonctionnel mais simplifié pour php4, pas très orienté objet, mais ça marche assez bien.

[Aramiil]

$var = htmlentities($_POST['var']); au lieu de $var = $_POST['var'];
afin d'éviter les injections de code et injections sql

Pas encore lu le reste (j'éditerais), mais attention, htmlentities ne protège pas des injections sql si il est employé comme ceci. Il faut ajouter le second paramètre à ENT_QUOTES, sinon ça ne change rien.

[zneman]

oki oki, je vais voir ca merci bien :p

[Loetheri]

Pour se protéger des attaques SQL, utilisez une véritable fonction prévue à cet effet : mysql_real_escape_string().

html_entities n'est à utiliser que lors de l'affichage (Pourquoi insérer des caractères plus longs alors que les caractères originaux sont inoffensifs dans la BD ?)

[Aramiil]

html_entities a l'avantage de ne pas re-demander de traitement ulterieurs dans certains cas (pseudonyme, par exemple), ce qui ne serait pas le cas avec un mysql_real_escape_string(). De plus, cette fonction ne marche que si ont utilise mysql (et de préférence qu'on fourni un identifiant valide).