CouCou

J'essaie de faire une requête SQL mais ça ne marche pas très bien car mes variables de conditions sont dans un GET ou proviennent d'une autre requete

Par exemple :
quand j'essaie de faire ça :

$SQL = 'SELECT * FROM table WHERE identifiant=$_GET[identifiant]';
ça me renvoit une erreur alors que si je met ça :

$SQL = 'SELECT * FROM table WHERE identifiant=5'; il n'y a pas de soucis, pourtant si je fais echo "$_GET[identifiant]"; ça m'affiche bien 5

Comment puis-je faire pour que cela marche ?
J'ai essayé de faire :
identifiant='$_GET[identifiant]'
identifiant=$_GET['identifiant']
identifiant=\'$_GET[identifiant]\'

Mais sans succès ...

Voilà merci d'avance pour vos réponses

$SQL = "SELECT * FROM table WHERE identifiant=" + $_GET[identifiant]";

L'opérateur + permettra de mettre bout à bout tes chaînes.

D'ailleurs le dernier " est en trop, désolé.

D'accord merci beaucoup !! :D

Argl, je meurt! J'ai ete sql injecte!

Serieusement, on ne concatene jamais une chaine qui vient de l'exterieur dans une requete sql. On utilise pdo pour parametre la requete.

Malheureusement je ne peux utiliser pdo, c'est pour un projet scolaire (je suis un DUT info) et notre prof nous dit de n'utiliser que les anciennes fonctions

Du coup j'ai pas moyen de sécuriser mes requêtes autrement ?

Ah oui j'avais oublié les injections SQL... Le PHP n'est pas mon fort, pardonnez moi cette erreur horrible.

1- ta requête ne fonctionne pas car tu places ta variable entre des guillemets et donc ce n'est pas interpréter en tant que variable mais en tant que du texte.

2- il faut donc concaténer ta variable à ton texte, pour cela il faut refermer les guillemets et utiliser l'opérateur de concaténation qui est un point .
ex :
$texteadditionnel = "BLABLABLA";
$texte = "blablabla" . $texteadditionnel . "blablabla";

3- http://php.net/manual/fr/security.database.sql-injection.php (plus bas tu as les techniques de contournement)

C'est completement con de vous donner des mauvaises habitudes dès le début