Discussion :

[guy2004]

Bonjour,
J'ai 2 tables reli�es par une cl� :
Table USER dont cl� primaire est "iduser".
Table COURS dont cl� etrangere est "userid"
==> donc iduser = userid
Je selectionne tous les cours et les affiches avec une boucle sous forme d'un tableau.
Mais dans ce tableau je voudrai inserer une cellule affichant le "username" pris dans la table USER qui correspond � l'userid de la table COURS mais j'arrive pas � le faire !
Voici mes requetes :

Code :

S�lectionner tout - Visualiser dans une fen�tre � part

1
2
3
4
5
6
7
8
9
10
11
12
13
$story_sql = "select * from cours
                where page = '".$pages['code']."'
                and published is not null
                order by published desc";
				$story_result = mysql_query($story_sql, $conn);
  if (mysql_num_rows($story_result)) {
$story_sql = "select * from cours
                where page = '".$pages['code']."'
                and published is not null
                order by published desc";
				$story_result = mysql_query($story_sql, $conn);
  if (mysql_num_rows($story_result)) {
...affichage du tableau

Pour ma requete suivante concernant les noms :

Code :

S�lectionner tout - Visualiser dans une fen�tre � part

1
2
 
$result="select username from user where iduser = .'$story[userid]'";

a partir de l� je bloque !
Merci � ceux qui m'aideront :-)

[the_jeck]

Une proposition avec une jointure sur les deux tables :

Code :

S�lectionner tout - Visualiser dans une fen�tre � part

1
2
3
4
5
6
7
$story_sql = "select cours.*, user.username 
   from cours 
      left join user on (user.iduser = cours.userid)
   where page = '".$pages['code']."'
                and published is not null
                order by published desc";
$story_result = mysql_query($story_sql, $conn);

Et puis que je suis un maniaque je dirais m�me : les doubles quotes sont ici inutile, et pour �viter les probl�mes d'injection SQL :

Code :

S�lectionner tout - Visualiser dans une fen�tre � part

1
2
3
4
5
6
7
$story_sql = 'select cours.*, user.username 
   from cours 
      left join user on (user.iduser = cours.userid)
   where page = "'. str_replace('"', '\"', $pages['code']) .'"
                and published is not null
                order by published desc';
$story_result = mysql_query($story_sql, $conn);

[guy2004]

Je te remercie the_jeck c'est exactement ce que je voualis, j'ai encore des soucis avec les jointures mais ca va finir par rentrer.
Dis moi stp c'est quoi cette manip qui doit eviter le sql injection ?

[the_jeck]

en fait, lorsque tu mets une variable dans une chaine qui devient une requete SQL... il faut �viter que cette variable puisse contenir un code qui va modifier le comportement de ta quete...

par exemple dans ton cas si j'ai ca :

Code :

S�lectionner tout - Visualiser dans une fen�tre � part

$pages['code'] = 'tutu"; select * from user;';

ta quete SQL risque de ressembler � ca :

Code :

S�lectionner tout - Visualiser dans une fen�tre � part

1
2
 
select cours.*, user.username from cours left join user on (user.iduser = cours.userid) where page = "tutu"; select * from user; "...

on se retrouve avec plusieurs requetes conc�cutives... dont une qui vient d'une variable (par exemple un champ input ?)

avec le str_replace :

Code :

S�lectionner tout - Visualiser dans une fen�tre � part

select cours.*, user.username from cours left join user on (user.iduser = cours.userid) where page = "tutu\"; select * from user; "...

la requete inject�e se retrouve trait�e comme une simple chaine de caract�re, la requ�te d'origine ne renverra sans doute aucun enregistrement, mais rien de plus.

Voil� le principe ;-)

[guy2004]

ok merci !

[tigunn]

8) Salut,

juste une petite remarque en passant tu peut utiliser la fonction addslashes() (et sa copine stripslashes() ) pour s'assurer contre l'injection sql. C'est plus simple que str_replace() , isnt'it ?

bon dev'

[guy2004]

oui !

[Mr N.]

8) Salut,

juste une petite remarque en passant tu peut utiliser la fonction addslashes() (et sa copine stripslashes() ) pour s'assurer contre l'injection sql. C'est plus simple que str_replace() , isnt'it ?

bon dev'

+1 sachant que pour mysql ca ne suffira pas car il reste les caract�res � slasher :
http://us2.php.net/manual/fr/function.mysql-real-escape-string.php

[the_jeck]

Ah tien, je ne la connaissais pas cette fonction !! merci beaucoup !! ca va en aider plus d'un par ici ;-)