[francoisch]

Bonjour

J’ai un petit problème de syntaxe avec une commande Select, simplifiée :

$requete3 = "SELECT * FROM ".$table." WHERE activite='".$libelle."'";

Tout va bien jusqu’à ce que la valeur de $libelle, un mot, comporte une apostrophe, par ex. : l’ouie.

Comment faire pour que cette apostrophe dans la variable $libelle ne sème pas le bazar avec les apostrophes qui délimitent les variables ?

Merci par avance de votre aide.

Francois

[Ernestine]

Bonjour,

Tu dois échapper les données avec la fonction mysql_real_escape_string :

$requete3 = "SELECT * FROM ".$table." WHERE activite='".mysql_real_escape_string($libelle)."'";

Non seulement ça règlera ton problème d'apostrophe, et de plus, c'est indispensable pour la sécurité.

[jcaron]

Tu as déjà posé la même question le 23 octobre, et on t'a déjà répondu la même chose ;->

Sans rire, apostrophe ou pas, il est INDISPENSABLE d'utiliser mysql_real_escape_string pour toute variable que tu insères dans une requête SQL, sinon tu ouvres des failles de sécurité béantes.

Jacques.

[francoisch]

bonjour Ernestine et Jacques

Oui, j'avais posé une question de ce type récemment mais, pour moi, elle n'était pas la même.

OK, compris et merci de vos réponses et de votre patience.

J'avais bien, dans l'intervalle, sécurisé mes saisies car j'avais bien compris qu'il y avait une faille sévère.

Francois