PHP

Requete php BDD

Recherche :

Mot : Pseudo : Filtrer
Page : 1 2 Page Suivante Page Précédente Bas de page
Auteur	Sujet : Requete php BDD

marquito

Reprise du message précédent :
Il n'a pas moyen de vérifier si mon code comporte un risque ?
On m'a parlé de ça pour faire un test

Code :

$Prixmini = (is_int($_GET['Prixmini'])) ? $_GET['Prixmini'] : 0;
$Prixmini = (is_int($_GET['Prixmaxi'])) ? $_GET['Prixmaxi'] : 0;
if (!empty($Prixmini) && !empty($Prixmini)) {
$search .= " AND (a.ad_price BETWEEN '" . $Prixmini . "' AND '" . $Prixmini . "')";
}

Citation :

Si ils doivent être de type string, penses à ajouter des addslashes() pour éviter de faire planter ta requête.

Qu'est-que t'en penses ? et qu'est-que tu me conseil

Publicité

stealth35

t'as essayé mon code ?

Message cité 1 fois

rufo

Pas me confondre avec Lycos!

J'ai dit que oui, ton code comporte des risques et je t'ai donné, dans mon post précédent, des indications pour y remédier.
Tester si une valeur est bien un entier attendu, ça peut le faire, mais t'as banané pour les valeurs qui sont des chaînes de caractères (genre quand tu recherches sur un mot clé dans ta bd où dans ton formulaire d'authentification).

---------------
Astres, outil de help-desk GPL : http://sourceforge.net/projects/astres, ICARE, gestion de conf : http://sourceforge.net/projects/icare, Outil Planeta Calandreta : https://framalibre.org/content/planeta-calandreta

rufo

Pas me confondre avec Lycos!

stealth35 a écrit :

t'as essayé mon code ?

Ton code est sujet au sql injection

Message cité 1 fois

stealth35

rufo a écrit :

Ton code est sujet au sql injection

la n'est pas telment la question pour le moment c'est le resultat

rajouter un foreach avec échapper les valeurs ca mange pas de pain

rufo

Pas me confondre avec Lycos!

ben si, c'était sa question si son code était sujet à du sql injection...

marquito

J'ai juste un petit bug je ne sais pas si c'est possible de corriger ça ?
Si je rentre dans Mini le chiffre 0 et dans Maxi 1000 il me liste tout même les supérieur à 1000

le problème est sur le zéro sinon ça fonctionne parfaitement

Message édité par marquito le 19-03-2009 à 15:30:21

marquito

J'essaye de réfléchir :pt1cable: ça proviendrait peut être de la BDD ?

rufo

Pas me confondre avec Lycos!

J'ai l'impression que t'es pas fait pour la programmation, toi. Si t'as gardé le bout de code qui était :

Code :

$Prixmini = (is_int($_GET['Prixmini'])) ? $_GET['Prixmini'] : 0;
$Prixmini = (is_int($_GET['Prixmaxi'])) ? $_GET['Prixmaxi'] : 0;
if (!empty($Prixmini) && !empty($Prixmini)) {
$search .= " AND (a.ad_price BETWEEN '" . $Prixmini . "' AND '" . $Prixmini . "')";
}

ben c'est normal que ça marche pas. Regardes ce que fait empty() et tu va voir que l'une des 2 conditions du code précédent n'est pas respectée, donc la condition sur les prix n'est pas appliquée. Faut donc modifier un peut le code précédent. Si t'as un brin de logique, ça se fait en qq secondes...

marquito

je n'ai pas mis le code que tu me montre je suis resté sur le tiens je ne prends pas de risque je te fais complètement confiance :ange:
Je suis comme ça actuellement

Code :

if ($text_search <> "" ) {
$search .= " AND (a.ad_headline LIKE '%$text_search%' OR a.ad_text LIKE '%$text_search%') ";
}
//MODIFICATION
if (!empty($_GET['Prixmini']) && !empty($_GET['Prixmaxi'])) {
$search .= " AND (a.ad_price BETWEEN '" . $_GET['Prixmini']. "' AND '" . $_GET['Prixmaxi'] . "')";
}
//MODIFICATION
if (!empty($_GET['Kmmini']) && !empty($_GET['Kmmaxi'])) {
$search .= " AND (a.ad_kilometrage BETWEEN '" . $_GET['Kmmini']. "' AND '" . $_GET['Kmmaxi'] . "')";
}
//MODIFICATION
if (!empty($_GET['Motcle'])) {
$search .= " AND a.ad_text LIKE '%".$_GET['Motcle']."%'";
}
$search .= " AND a.published = 1";

Et c'est pas une impression je ne suis pas fait pour la programmation :pt1cable:

Publicité

rufo

Pas me confondre avec Lycos!

t'as pris le temps d'aller recherche sur www.php.net ce que fait empty() au moins?

marquito

Ben comme je ne peux pas te le cacher la programmation pour moi c'est du charabia moi je suis plus graphisme

rufo

Pas me confondre avec Lycos!

ben de 2 choses l'une : où tu laisses tomber la programmation, où tu t'y mets et tu fais des efforts, genre aller sur le site que je t'ai donné pour comprendre ce que fait empty() http://fr3.php.net/manual/fr/function.empty.php

Mais sur ce forum, on n'a pas pour habitude d'aider des assistés qui ne veulent pas faire d'efforts pour comprendre. :pfff:

marquito

Ne te fâche pas rufo je veux bien essayer de comprendre et faire des efforts (pas de prob) mais comprend aussi que c'est pas si simple la programmation et c'est vrai aussi que l'ont assimile plus vite avec des conseils plutôt que seul

marquito

:sol:

Message édité par marquito le 21-03-2009 à 14:37:05

Publicité

Page : 1 2

Page Suivante

Page Précédente

Haut de page

FORUM HardWare.fr

Programmation

PHP

Requete php BDD

Sujets relatifs
Requête SQL complexe et éviter table temporaire	Une requête qui n'est pas tout à fait correcte
[Access] Regrouper plusieurs résultats d'1 requête sur 1 seule ligne?	[PHP]Connection BDD easyphp
Bête requete ...	Défilement images d'une requete php avec javascript
[résolu] Connexion/déconnexion d'une BDD en PHP, temps d'accès	Requête sur fichier XML comme BDD
Pb de requête Bdd / php	[MYSQL] Impossible d'envoyer une requete a la BDD
Plus de sujets relatifs à : Requete php BDD

Page générée en 0.034 secondes