Affichage hiérarchique

Yuri · 17-11-2013, 10h27

Salut j'aimerais savoir si on pouvais raccourcir ce type de code, il s’agit d'additionner et redonner aux membres des points :

Code PHP :
$connect = mysql_connect($ip, $id, $mdp);
mysql_select_db($database);

// On affiche le nombre de points que le membre a déjà et on stock l'information dans une variable

$table2 = mysql_query("SELECT * FROM accounts WHERE account='$username'");
while ($tab_contenu=mysql_fetch_assoc($table2))
{
$points = $tab_contenu['points'];
}

$username = $_SESSION['username'];
$point = $points+$point_par_appel;

// On additionne les points du membre avec les points achetés

$table = mysql_query("UPDATE accounts SET points='$point' WHERE account='$username'");
$rows = ($table);

if($rows==1)
// si tout est OK, on lui remet les points achetés et on le prévient du nombre qu'il a gagné.
{


echo "<em style='color:green;'>Felicitation ! Vous avez été créditée de $point_par_appel points !</em>";

}else echo"<p style='color:red;margin-left:500px;'>Erreur, code invalide</p>"; 

Dobry · (Modification du message : 17-11-2013, 10h43 par Dobry.)

Bonjour,
Je ne suis pas sûr d'avoir saisi ce que tu souhaite faire, mais il y a un certains nombre d'éléments qui me dérangent dans ton code, et qui ne peuvent être negligés !
En effet, tu ne fais aucune vérification sur les variables qui tu ajoutes dans tes requêtes qui sont donc à priori toutes vulnérables aux injections SQL, par exemple si $username contient " ' ", la requete va être completement transformée et le pirate pourra faire ce qu'il veut sur ta base de donnée.
Tu peux trouver une explication sur ce type de faille http://n-pn.fr/t/Comment+exploiter+une+f...ction/1199, mais je trouve que ce "tuto" est très incomplet car il ne présente aucune solution à ce problème.

Je pense que la meilleur solution pour pallier à ce problème est d'utiliser les requetes préparées, disponible avec PDO ou Mysqli par exemple, cependant, si tu souhaite garder ton code similaire, tu peux utiliser la fonction http://php.net/manual/fr/function.mysql-...string.php sur tes variables (ce qui confirme ce que je disais avant).

Je me suis peut être éloigné de la question principale et peut être que tu fais ce traitement dans une partie du code que tu ne nous a pas montré, tout ca pour dire qu'il faudrait changer pour PDO ou Mysqli !

Une autre chose qui me gène c'est que tu fais appel à $username dans ta première requête, avant même de l'instancier à l'aide de la session (et il manque le sessions_start()) encore une fois, peut être que ce n'est juste pas dans la partie du code que tu nous a montré, et dans ce cas, j'aurais écrit tout cela pour rien.

Yuri · 17-11-2013, 10h50

Ceci-ci est juste une partie du code, le bout de code dédiée aux remises de points aux membres.
Je prends note pour PDO Wink

Merci

17-11-2013, 10h51

Tu ne peux pas vraiment réduire le code sauf en te passant des variables que tu définis type $username ou $point. Je rejoins ce qui à été dit sur le post précédent, pas mal de choses ne vont pas.

Kiwazaru · (Modification du message : 17-11-2013, 12h44 par Kiwazaru.)

si c'est juste de la réduction de code :

Code PHP :



$connect = mysql_connect($ip, $id, $mdp);

mysql_select_db($database);

// On affiche le nombre de points que le membre a déjà et on stock l'information dans une variable

while ($tab_contenu=mysql_fetch_assoc(mysql_query("SELECT * FROM accounts WHERE account='$username'")))

$points = $tab_contenu['points'];

// On additionne les points du membre avec les points achetés

if(mysql_query("UPDATE accounts SET points='$points+$point_par_appel' WHERE account='$_SESSION['username']'")==1)

echo "<em style='color:green;'>Felicitation ! Vous avez été créditée de $point_par_appel points !</em>";

else echo"<p style='color:red;margin-left:500px;'>Erreur, code invalide</p>";

devrait fonctionner.

Sh4dows · 17-11-2013, 16h17

Citation :Ceci-ci est juste une partie du code, le bout de code dédiée aux remises de points aux membres.

Après si tu as juste besoin d'ajouter des points sans avoir à afficher le nombre de point que le membre possède avant l'achat, tu peux faire ça en une requête SQL au lieu de 2 Tongue

Code PHP :



<?php

$username = $_SESSION['username'];

$point_par_appel = 10;

$table = mysql_query("UPDATE account SET points=points+$point_par_appel WHERE account=$username");

$rows = ($table);

if($rows==1){

        echo "<em style='color:green;'>Felicitation ! Vous avez été créditée de $point_par_appel points !</em>";

} else {

        echo"<p style='color:red;margin-left:500px;'>Erreur, code invalide</p>";

}

En gros tu SET tonchamp=tomchamp+n Wink

Yuri · 17-11-2013, 19h14

@Instinct :

Code PHP :
points='$points+$point_par_appel' 

Erreur ici mais c'est bon corriger. Merci à vous tous. Pour votre aide Wink

@Sh4dow : Cool Thx je link this Wink

Yuri.
Encore merci

Sujets apparemment similaires…
Sujet		Auteur	Réponses	Affichages	Dernier message
	LFI .log Finder (+ Source PHP)	Hypnoze57	11	595	01-02-2013, 19h10 Dernier message: Hypnoze57

Identifiant Mot de passe
S’enregistrer \| Mot de passe oublié ? Se rappeler