Probleme avec une requête SQL

le 20/06/2006 à 23:12

kurt

Bonjour à tous,
J'ai un petit code SQL qui devrait normalement insérer un truc dans la BDD, seulement ça ne marche pas! et en plus cela ne renvoie aucune erreur via mysql_error(). :o

session_start();

$categorie = $_GET['categorie'];

include('../ecode.php');

if(isset($_POST['message']) && isset($_POST['titre']) && isset($_SESSION['pseudo']))

{

        if(!empty($_POST['message']) && !empty($_POST['titre']) && !empty($_SESSION['pseudo']))

        {

                                $message = htmlspecialchars(Ecode($_POST['message']), ENT_QUOTES);

                                mysql_connect("*", "*", "*");

                                mysql_select_db("*");

                mysql_query("INSERT INTO sujets VALUES ('', '".$_POST['titre']."', '".$_SESSION['pseudo']."', '". $message ."', 'ouvert', '".time()."', '".$categorie."')") or die (mysql_error());

                mysql_close();

                                include('redirection_acceuil.php');

        }

}

Citer ce message

le 20/06/2006 à 23:25

Bzh

Je n'ai pas regardé d'assez près pour voir ou cela coince.

Par contre, il y a une faille monumentale dans ton script !!!

On peut faire une attaque par injection de sql à cause de ta variable '$_GET['categorie']' qui n'est pas protêgé...

Toujours passer TOUTES les variables modifiables manuellement par mysql_real_escape_string() !!!

Voili, bonne continuation

Citer ce message

le 20/06/2006 à 23:37

kurt

je n'ai jamais entendu parler de mysql_real_escape_string() ! o_0
Mais c'est le code qui me chiffonne je suis dessuis depuis ce matin !

Citer ce message

le 21/06/2006 à 10:56

fabrice11901

salut
déjà tu met un if mais pourquoi tu mets pas un else à la fin?
else { echo "y a un pb"; }
essaye aussi au lieu de te connecter directement de tester tes variables :
echo $...;
tiens mo au couran
A+ :)

moi, j'adore le php !

Citer ce message