le 31/01/2014 à 20:37
soucis avec un fichier
Bonsoir,
Il y a un savant mélange dans ton script inserer_sujet.php. Il y est fait appel à des données reçues en GET et en POST en même temps. Ce n'est pas chose possible, ton script doit forcément être appelé d'une manière et d'une seule. Si ton script doit pouvoir supporter les deux, il te faut utiliser $_REQUEST au lieu de $_GET et $_POST.
Ton formulaire utilisant visiblement la méthode POST, tu devrais remplacer $_GET['numero_du_sujet'] par $_POST['numero_du_sujet'].
Quelques points :
- tu n'as pas protégé cette donnée dans ta requête SQL, la rendant ainsi vulnérable aux injections. Je présume qu'il s'agit d'un identifiant sous forme d'un nombre entier, tu devrais donc utiliser intval() pour sécuriser cette donnée.
- afficher la requête SQL complète en cas d'erreur dans tes die() est à proscrire. Tu donnes en effet trop d'informations utiles aux pirates.
- l'extension MySQL (mysql_connect, mysql_query, etc) est à présent obsolète et sera supprimée dans une prochaine version de PHP. Tu devrais songer à regarder MySQLi (très proche des fonctions mysql_*) et/ou PDO.
Il y a un savant mélange dans ton script inserer_sujet.php. Il y est fait appel à des données reçues en GET et en POST en même temps. Ce n'est pas chose possible, ton script doit forcément être appelé d'une manière et d'une seule. Si ton script doit pouvoir supporter les deux, il te faut utiliser $_REQUEST au lieu de $_GET et $_POST.
Ton formulaire utilisant visiblement la méthode POST, tu devrais remplacer $_GET['numero_du_sujet'] par $_POST['numero_du_sujet'].
Quelques points :
- tu n'as pas protégé cette donnée dans ta requête SQL, la rendant ainsi vulnérable aux injections. Je présume qu'il s'agit d'un identifiant sous forme d'un nombre entier, tu devrais donc utiliser intval() pour sécuriser cette donnée.
- afficher la requête SQL complète en cas d'erreur dans tes die() est à proscrire. Tu donnes en effet trop d'informations utiles aux pirates.
- l'extension MySQL (mysql_connect, mysql_query, etc) est à présent obsolète et sera supprimée dans une prochaine version de PHP. Tu devrais songer à regarder MySQLi (très proche des fonctions mysql_*) et/ou PDO.
