Corriger erreur php: modification de base données

Corriger erreur php: modification de base données - PHP - Programmation

Marsh Posté le 01-03-2013 à 11:19:40    

salam tout le monde:
 
brabi svp j'ai un problem:
 
j'ai crée une base données contenant table "cr". j'ai hébergé mon site & ça fonctionne bien...
je veux par PHP modifier le contenu de la table "cr"
 
alors voici les 3 pages php que j'ai crée:
 
crmodification.php :

Code :
  1. <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
  2. <html xmlns="http://www.w3.org/1999/xhtml">
  3. <head>
  4. <meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
  5. <title>crmodification3</title>
  6. </head>
  8. <body>
  9. <?php
  10. // Indique le bon format des entêtes (par défaut apache risque de les envoyer au standard ISO-8859-1)
  11. header('Content-type: text/html; charset=UTF-8');
  12.   //connection au serveur:
  13.     $cnx = mysql_connect( "host", "user", "xxx" ) ;
  14.     //sélection de la base de données:
  15.     $db = mysql_select_db( "AAAAA" ) ;
  16.     // Indique à mySql de travailler en UTF-8 (par défaut mySql risque de travailler au standard ISO-8859-1)
  17.          mysql_query("SET NAMES 'utf8'" );
  18. //requête SQL:
  19.     $sql = "SELECT *
  20.       FROM cr
  21.       ORDER BY no" ;
  23.     //exécution de la requête:
  24.     $requete = mysql_query( $sql, $cnx ) ;
  26.     //affichage des données:
  27.     while( $result = mysql_fetch_object( $requete ) )
  28.     {
  29.        echo(
  30.            "<div align=\"center\">"
  31.            .$result->no." ".$result->nom." ".$result->cin."<a href=\"crmodification2.php?idPersonne=".$result->no."\">modifier</a></div>\n"
  32.        ) ;
  33.     }
  34.   ?>
  35. </body>
  36. </html>


puis page2: crmodification2.php

Code :
  1. <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
  2. <html xmlns="http://www.w3.org/1999/xhtml">
  3. <head>
  4. <meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
  5. <title>crmodification3</title>
  6. </head>
  8. <body>
  9. <?php
  10. // Indique le bon format des entêtes (par défaut apache risque de les envoyer au standard ISO-8859-1)
  11. header('Content-type: text/html; charset=UTF-8');
  12.   //connection au serveur:
  13.     $cnx = mysql_connect( "host", "user", "xxx" ) ;
  14.     //sélection de la base de données:
  15.     $db = mysql_select_db( "AAAAA" ) ;
  16.     // Indique à mySql de travailler en UTF-8 (par défaut mySql risque de travailler au standard ISO-8859-1)
  17.          mysql_query("SET NAMES 'utf8'" );
  18. //récupération de la variable d'URL,
  19.   //qui va nous permettre de savoir quel enregistrement modifier
  20.   $id  = $_GET["idPersonne"] ;
  22.   //requéte SQL:
  23.   $sql = "SELECT *
  24.             FROM cr
  25.     WHERE no = ".$id ;
  27.   //exécution de la requéte:
  28.   $requete = mysql_query( $sql, $cnx ) ;
  30.   //affichage des données:
  31.   if( $result = mysql_fetch_object( $requete ) )
  32.   {
  33.   ?>
  34.  
  35.   <form name="insertion" action="crmodification3.php" method="POST">
  36.   <input type="hidden" name="no" value="<?php echo($id) ;?>">
  37.   <table border="0" align="center" cellspacing="2" cellpadding="2">
  38.    <tr align="center">
  39.       <td>no</td>
  40.       <td><input type="text" name="no" value="<?php echo($result->no) ;?>"></td>
  41.     </tr>
  42. <tr align="center">
  43.       <td>nom</td>
  44.       <td><input type="text" name="nom" value="<?php echo($result->nom) ;?>"></td>
  45.     </tr>
  46. <tr align="center">
  47.       <td>cin</td>
  48.       <td><input type="text" name="cin" value="<?php echo($result->cin) ;?>"></td>
  49.     </tr>
  50.     <tr align="center">
  51.       <td>identifiant unique</td>
  52.       <td><input type="text" name="identifiantunique" value="<?php echo($result->identifiantunique) ;?>"></td>
  53.     </tr>
  54.     <tr align="center">
  55.       <td>date naissance</td>
  56.       <td><input type="text" name="datenaissance" value="<?php echo($result->datenaissance) ;?>"></td>
  57.     </tr>
  58.     <tr align="center">
  59.       <td>lieu naissance</td>
  60.       <td><input type="text" name="lieunaissance" value="<?php echo($result->lieunaissance) ;?>"></td>
  61.     </tr>
  62.     <tr align="center">
  63.       <td>etat civil</td>
  64.       <td><input type="text" name="etatcivil" value="<?php echo($result->etatcivil) ;?>"></td>
  65.     </tr>
  66. <tr align="center">
  67.       <td>enfants</td>
  68.       <td><input type="text" name="enfants" value="<?php echo($result->enfants) ;?>"></td>
  69.     </tr>
  70. <tr align="center">
  71.       <td>grade actuel</td>
  72.       <td><input type="text" name="gradeactuel" value="<?php echo($result->gradeactuel) ;?>"></td>
  73.     </tr>
  74. <tr align="center">
  75.       <td>grade entree</td>
  76.       <td><input type="text" name="gradeentree" value="<?php echo($result->gradeentree) ;?>"></td>
  77.     </tr>
  78. <tr align="center">
  79.       <td>date entree</td>
  80.       <td><input type="text" name="dateentree" value="<?php echo($result->dateentree) ;?>"></td>
  81.     </tr>
  82. <tr align="center">
  83.       <td>grade obtention</td>
  84.       <td><input type="text" name="gradeobtention" value="<?php echo($result->gradeobtention) ;?>"></td>
  85.     </tr>
  86. <tr align="center">
  87.       <td>fonction</td>
  88.       <td><input type="text" name="fonction" value="<?php echo($result->fonction) ;?>"></td>
  89.     </tr>
  90. <tr align="center">
  91.       <td>diplomes</td>
  92.       <td><input type="text" name="diplomes" value="<?php echo($result->diplomes) ;?>"></td>
  93.     </tr>
  94. <tr align="center">
  95.       <td>intirimes</td>
  96.       <td><input type="text" name="intirimes" value="<?php echo($result->intirimes) ;?>"></td>
  97.     </tr>
  98. <tr align="center">
  99.       <td>stages & formations</td>
  100.       <td><input type="text" name="stagesformations" value="<?php echo($result->stagesformations) ;?>"></td>
  101.     </tr>
  102. <tr align="center">
  103.       <td>tel</td>
  104.       <td><input type="text" name="tel" value="<?php echo($result->tel) ;?>"></td>
  105.     </tr>
  106. <tr align="center">
  107.       <td>adresse</td>
  108.       <td><input type="text" name="adresse" value="<?php echo($result->adresse) ;?>"></td>
  109.     </tr>
  110. <tr align="center">
  111.       <td>domiciliation salaire</td>
  112.       <td><input type="text" name="domiciliationsalaire" value="<?php echo($result->domiciliationsalaire) ;?>"></td>
  113.     </tr>
  114. <tr align="center">
  115.       <td>no compte</td>
  116.       <td><input type="text" name="nocompte" value="<?php echo($result->nocompte) ;?>"></td>
  117.     </tr>
  118. <tr align="center">
  119.       <td>postes anterieurs</td>
  120.       <td><input type="text" name="postesanterieurs" value="<?php echo($result->postesanterieurs) ;?>"></td>
  121.     </tr>
  122.     <tr align="center">
  123.       <td colspan="2"><input type="submit" value="modifier"></td>
  124.     </tr>
  125.   </table>
  126. </form>
  127. <?php
  128.   }//fin if  
  129.   ?>
  130. </body>
  131. </html>


et finallement la page3: crmodification3.php

Code :
  1. <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
  2. <html xmlns="http://www.w3.org/1999/xhtml">
  3. <head>
  4. <meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
  5. <title>crmodification3</title>
  6. </head>
  8. <body>
  9. <?php
  10. // Indique le bon format des entêtes (par défaut apache risque de les envoyer au standard ISO-8859-1)
  11. header('Content-type: text/html; charset=UTF-8');
  12.   //connection au serveur:
  13.     $cnx = mysql_connect( "host", "user", "xxx" ) ;
  14.     //sélection de la base de données:
  15.     $db = mysql_select_db( "AAAAA" ) ;
  16.     // Indique à mySql de travailler en UTF-8 (par défaut mySql risque de travailler au standard ISO-8859-1)
  17.          mysql_query("SET NAMES 'utf8'" );
  19. //récupération des valeurs des champs:
  21.   //nom:
  22.   $nom     = $_POST["nom"] ;
  23.   //prenom:
  24.   $cin = $_POST["cin"] ;
  25.     //identifiantunique:
  26.   $identifiantunique = $_POST["identifiantunique"] ;
  27.   //datenaissance:
  28.   $datenaissance        = $_POST["datenaissance"] ;
  29.   //lieunaissance:
  30.   $lieunaissance       = $_POST["lieunaissance"] ;
  31. //etatcivil:
  32.   $etatcivil       = $_POST["etatcivil"] ;
  33.   //enfants:
  34.   $enfants       = $_POST["enfants"] ;
  35.    //gradeactuel:
  36.   $gradeactuel       = $_POST["gradeactuel"] ;
  37.     //gradeentree:
  38.   $gradeentree       = $_POST["gradeentree"] ;
  39.     //dateentree:
  40.   $dateentree       = $_POST["dateentree"] ;
  41.     //gradeobtention:
  42.   $gradeobtention       = $_POST["gradeobtention"] ;
  43.     //fonction:
  44.   $fonction       = $_POST["fonction"] ;
  45.     //diplomes:
  46.   $diplomes       = $_POST["diplomes"] ;
  47.     //intirimes:
  48.   $intirimes       = $_POST["intirimes"] ;
  49.     //stagesformations:
  50.   $stagesformations       = $_POST["stagesformations"] ; 
  51.     //tel:
  52.   $tel       = $_POST["tel"] ;
  53.     //adresse:
  54.   $adresse       = $_POST["adresse"] ;
  55.     //domiciliationsalaire:
  56.   $domiciliationsalaire       = $_POST["domiciliationsalaire"] ;
  57.     //nocompte:
  58.   $nocompte       = $_POST["nocompte"] ;
  59.     //postesanterieurs:
  60.   $postesanterieurs       = $_POST["postesanterieurs"] ;
  61.  
  62.    //récupération de l'identifiant de la personne:
  63.   $id         = $_POST["no"] ;
  64.  
  65.   //création de la requéte SQL:
  66.   $sql = "UPDATE cr
  67.             SET nom         = '$nom',
  68.       cin         = '$cin',
  69.       identifiantunique         = '$identifiantunique',
  70.       datenaissance         = '$datenaissance',
  71.       lieunaissance         = '$lieunaissance',
  72.       etatcivil         = '$etatcivil',
  73.       enfants         = '$enfants',
  74.       gradeactuel         = '$gradeactuel',
  75.       gradeentree         = '$gradeentree',
  76.       dateentree         = '$dateentree',
  77.       gradeobtention         = '$gradeobtention',
  78.             fonction     = '$fonction',
  79.          diplomes    = '$diplomes',
  80.          intirimes           = '$intirimes',
  81.          stagesformations = '$stagesformations',
  82.    tel           = '$tel',
  83.    adresse       = '$adresse',
  84.    domiciliationsalaire       = '$domiciliationsalaire',
  85.    nocompte       = '$nocompte',
  86.    postesanterieurs = '$postesanterieurs',
  87.            WHERE no = '$id' " ;
  89.   //exécution de la requéte SQL:
  90.   $requete = mysql_query($sql, $cnx) or die( mysql_error() ) ;
  93.   //affichage des résultats, pour savoir si la modification a marchée:
  94.   if($requete)
  95.   {
  96.     echo("La modification a été correctement effectuée" ) ;
  97.   }
  98.   else
  99.   {
  100.     echo("La modification a échoué" ) ;
  101.   }
  102. ?>
  103. </body>
  104. </html>


...
le probleme : il ya erreur qui s'affiche lors de la modification:
je reçois ce message "You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'WHERE no = '17'' at line 22"
merci pour votre aide :)  

Reply

Marsh Posté le 01-03-2013 à 11:19:40   

Reply

Marsh Posté le 01-03-2013 à 11:36:11    

Une virgule de trop avant le WHERE.
Les messages d'erreur ce n'est pas fait pour être ignoré.

Message cité 1 fois

---------------
Main/Alt1/Alt2/Alt3
Reply

Marsh Posté le 01-03-2013 à 11:37:22    

Affiche la requête générée et cherche l'erreur de syntaxe.
 
Au passage tu devrais te pencher sur les requêtes préparées : en l'état le premier hacker venu te vide la base de données sans le moindre effort.

Message cité 1 fois

---------------
Can't buy what I want because it's free -
Reply

Marsh Posté le 01-03-2013 à 12:29:47    

Volkhen a écrit :

Une virgule de trop avant le WHERE.
Les messages d'erreur ce n'est pas fait pour être ignoré.


 
allah yarhem waldik  
(dieu te recompense en protégeant tes parents)
merci infiniment... ça marche bien maintenant

Reply

Marsh Posté le 01-03-2013 à 12:30:21    

skeye a écrit :

Affiche la requête générée et cherche l'erreur de syntaxe.
 
Au passage tu devrais te pencher sur les requêtes préparées : en l'état le premier hacker venu te vide la base de données sans le moindre effort.


: allah yarhem waldik  
(dieu te recompense en protégeant tes parents)
merci infiniment... ça marche bien maintenant

Reply

Marsh Posté le 01-03-2013 à 13:13:33    

skeye veut parler des hack par SQL injection. D'où l'utilité des requêtes préparées (prepared statement) qu'on trouve, par ex avec PDO.
 
Par ailleurs, faudra penser à "épurer" le contenu saisi dans les champs pour gérer les pbs de caractères pouvant poser des pbs lors de l'insertion comme l'apostrophe ou le guillemet.
 
Pareil à l'affichage dans tes champs HTML. Tu auras un pb si une valeur contient un guillemet (voir du côté de la fonction htmlspecialchars()).
 
De même, pour te protéger des failles XSS, il faudra retirer les codes html ou javascript mis dans tes champs. strip_tags() pourra t'aider en partie ;)


---------------
Astres, outil de help-desk GPL : http://sourceforge.net/projects/astres, ICARE, gestion de conf : http://sourceforge.net/projects/icare, Outil Planeta Calandreta : https://framalibre.org/content/planeta-calandreta
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed