SQL dans joomla

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • [RÉGLÉ] SQL dans joomla

    Bonjour,

    j'ai un petit problème pour faire une requete SQL dans joomla.
    En gros j'ai l'id abonnement dans l'url et je souhaite retrouver le user id joomla correspondant et l'afficher en echo. (l'afficher en echo n'est qu'un test avant de passer à l'utilisation de cet ID)

    Code PHP:
    $id_abo $_GET['id'];

    $db JFactory::getDBO();

            
    $db->setQuery("SELECT user_id FROM # __emerald_subscriptions WHERE id = " $id_abo);

            
    $result $db->loadResult();

            echo 
    'ID user : ' $result['user_id']; 
    Lorsque j'ajoute la ligne 4 "$result = $db->loadResult();" et que je refresh la page est blanche, totalement, le code source anonce juste le chargement du head, body, et 2/3 pages css mais le visuel est blanc, je m'attendais à ma page normal + "ID user : 152"

    Mais rien. Si par contre dans mon code je retire la ligne deux, je récupère ma page mais sans résultat, juste avec "user ID : "

    J'avais appris un peu de php, assez pour me créer un petit gestionnaire clients avec base de donnée administrable depuis un navigateur, mais dans Joomla tout est diférent niveau requetes sql, j'ai développé des outils php sous joomla sans soucis, mais ca ne touchait pas à la base de donnée.

    J'ai beau regarder sur le net, ou même dans les composants installés je ne trouve rien qui fonctionne.

    Si quel'un sait, merci d'avance.
    Dernière édition par Minie à 17/11/2016, 16h54

  • #2
    Re : SQL dans joomla

    Bonsoir,

    Au niveau de la requête, je pense que vous avez mis un espace entre # et __ qui n'a pas de raison d'être là.

    Pascal
    If anything can go wrong, it will...
    If I can help, I will ..https://conseilgouz.com

    Commentaire


    • #3
      Re : SQL dans joomla

      Bonsoir,

      merci Malheureusement le problème vient de la ligne loadresult donc après correction le problème persiste.

      Commentaire


      • #4
        Re : SQL dans joomla

        Vous devriez essayer
        Code:
        $id_abo = $_GET['id']; 
        $db = JFactory::getDBO(); 
        $query = $db->getQuery(true);
        $query->select('user_id')
        ->from('#__emerald_subscriptions')
        ->where('id = ' . $id_abo);
        $db->setQuery($query); 
        $result = $db->loadResult(); 
        echo 'ID user : ' . $result['user_id'];
        Pascal
        If anything can go wrong, it will...
        If I can help, I will ..https://conseilgouz.com

        Commentaire


        • #5
          Re : SQL dans joomla

          un lien utile pour toi
          https://docs.joomla.org/Inserting,_U...g_JDatabase/fr
          Un site pour comparer des solutions : https://comparatifs-informaticien51.joomla.com
          un site personnel, sur Joomla, linux, windows et Powershell : https://informaticien51.joomla.com/

          Commentaire


          • #6
            Re : SQL dans joomla

            Bonjour

            Attention à la sécurité. La lecture du paramètre id en première ligne n'est absolument pas sécurisé mais peut-être est-ce pour ne donner qu'un exemple simplifié.

            Bonne journée
            Christophe (cavo789)
            Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)
            Développeur de marknotes, logiciel de gestion de prises de notes avec interface web et de multiples convertisseur https://github.com/cavo789/marknotes
            Mes logiciels OpenSource : https://www.avonture.be

            Commentaire


            • #7
              Re : SQL dans joomla

              Bonsoir,

              Envoyé par lefabdu51 Voir le message
              Merci grâce à ce lien j'ai trouvé la page de la même série d'info correspondant à ce que je cherche ICI. Je vais étudier ca et voir si enfin ca fonctionne

              @cavo789 : Oui en effet je décompose tout au début histoire de m'y retrouver plus facilement quand je ne suis pas sur d'atteindre mon but rapidement Par contre ca m'intéresse de savoir pourquoi est-ce un problème de sécurité ?

              Bonne soirée

              Commentaire


              • #8
                Re : SQL dans joomla

                Salut

                Renseigne-toi sur "SQL Injection", premier lien Google : https://www.veracode.com/security/sql-injection

                En très court :

                $id_abo = $_GET['id'];

                Toi, tu penses que "id" est un chiffre mais tu n'as rien fait pour garantir cela.

                Si je fais tonscript.php?id=1 OR 1=1

                Ton id_abo va alors contenir "1 OR 1=1"

                Ta ligne

                $db->setQuery("SELECT user_id FROM # __emerald_subscriptions WHERE id = " . $id_abo);

                va donc retourner l'ensemble de tes utilisateurs et pas seulement un seul; ceci puisque 1=1 est toujours vrai.

                A partir de là, avec une SQL Injection, on peut aussi s'amuser à mettre des subqueries pour p.ex. afficher le user_id (dans ton cas, c'est le seul champs de ton Select) du super-admin ou on peut faire un DROP TABLE ou un DROP DATABASE ou ...

                Tu l'as compris : ton script est un vrai danger si tu fais aveuglement confiance à des valeurs entrées sans contrôle aucun.
                Christophe (cavo789)
                Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)
                Développeur de marknotes, logiciel de gestion de prises de notes avec interface web et de multiples convertisseur https://github.com/cavo789/marknotes
                Mes logiciels OpenSource : https://www.avonture.be

                Commentaire


                • #9
                  Re : SQL dans joomla

                  Bonjour,

                  j'ai fini mon code, je donne ici ma solution pour les suivants.
                  Rappel : Afficher l'adresse de livraison de l'utilisateur hikashop sur la page détail de son abonnement emerald
                  Rappel de l'url de cette page : /abonnements?view=emsale&layout=edit&id=6

                  Code PHP:
                  <?php 
                      $id_abo 
                  JRequest::getInt('id'0);
                              
                      
                  $db JFactory::getDBO();
                              
                          
                  $db->setQuery('SELECT user_id FROM #__emerald_subscriptions WHERE id = ' $id_abo);
                          
                  $emarald_result $db->loadObject();
                              
                          
                  $db->setQuery('SELECT user_id FROM #__hikashop_user WHERE user_cms_id = ' $emarald_result->user_id);
                          
                  $hika_result $db->loadObject();
                              
                          
                  $db->setQuery('SELECT * FROM #__hikashop_address WHERE address_user_id = ' $hika_result->user_id);
                          
                  $hika_adress_result $db->loadObject();
                          
                  ?>
                          
                          <div id="user_adress">
                          <h3>Adresse de livraison</h3>
                          <p><?php echo $hika_adress_result->address_title ' ' $hika_adress_result->address_firstname ' ' $hika_adress_result->address_lastname '<br />' $hika_adress_result->address_street '<br />' $hika_adress_result->address_post_code ' ' $hika_adress_result->address_city?></p>
                          
                          <h3>Tel contact</h3>
                          <p><?php echo $hika_adress_result->address_telephone?></p>
                          </div>
                  Voila problème réglé.

                  Commentaire


                  • #10
                    Re : SQL dans joomla

                    Tu passes ton post en Réglé ?

                    Bonne journée.
                    Christophe (cavo789)
                    Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)
                    Développeur de marknotes, logiciel de gestion de prises de notes avec interface web et de multiples convertisseur https://github.com/cavo789/marknotes
                    Mes logiciels OpenSource : https://www.avonture.be

                    Commentaire

                    Annonce

                    Réduire
                    1 sur 2 < >

                    C'est [Réglé] et on n'en parle plus ?

                    A quoi ça sert ?
                    La mention [Réglé] permet aux visiteurs d'identifier rapidement les messages qui ont trouvé une solution.

                    Merci donc d'utiliser cette fonctionnalité afin de faciliter la navigation et la recherche d'informations de tous sur le forum.

                    Si vous deviez oublier de porter cette mention, nous nous permettrons de le faire à votre place... mais seulement une fois
                    Comment ajouter la mention [Réglé] à votre discussion ?
                    1 - Aller sur votre discussion et éditer votre premier message :


                    2 - Cliquer sur la liste déroulante Préfixe.

                    3 - Choisir le préfixe [Réglé].


                    4 - Et voilà… votre discussion est désormais identifiée comme réglée.

                    2 sur 2 < >

                    Assistance au forum - Outil de publication d'infos de votre site

                    Compatibilité: PHP 4.1,PHP4, 5, 6DEV MySQL 3.2 - 5.5 MySQLi from 4.1 ( @ >=PHP 4.4.9)

                    Support Version de Joomla! : | J!3.0 | J!2.5.xx | J!1.7.xx | J!1.6.xx | J1.5.xx | J!1.0.xx |

                    Version française (FR) D'autres versions sont disponibles depuis la version originale de FPA

                    UTILISER À VOS PROPRES RISQUES :
                    L'exactitude et l'exhaustivité de ce script ainsi que la documentation ne sont pas garanties et aucune responsabilité ne sera acceptée pour tout dommage, questions ou confusion provoquée par l'utilisation de ce script.

                    Problèmes connus :
                    FPA n'est actuellement pas compatible avec des sites Joomla qui ont eu leur fichier configuration.php déplacé en dehors du répertoire public_html.

                    Installation :

                    1. Téléchargez l'archive souhaitée : http://afuj.github.io/FPA/

                    Archive zip : https://github.com/AFUJ/FPA/zipball/master

                    2. Décompressez le fichier de package téléchargé sur votre propre ordinateur (à l'aide de WinZip ou d'un outil de décompression natif).

                    3. Lisez le fichier LISEZMOI inclus pour toutes les notes de versions spécifiques.

                    4. LIRE le fichier de documentation inclus pour obtenir des instructions d'utilisation détaillées.

                    5. Téléchargez le script fpa-fr.php à la racine de votre site Joomla!. C'est l'endroit que vous avez installé Joomla et ce n'est pas la racine principale de votre serveur. Voir les exemples ci-dessous.

                    6. Exécutez le script via votre navigateur en tapant: http:// www. votresite .com/ fpa-fr.php
                    et remplacer www. votresite .com par votre nom de domaine


                    Exemples:
                    Joomla! est installé dans votre répertoire web et vous avez installé la version française du fichier FPA:
                    Télécharger le script fpa-fr.php dans: /public_html/
                    Pour executer le script: http://www..com/fpa-fr.php

                    Joomla! est installé dans un sous-répertoire nommé "cms" et vous avez installé la version française du fichier FPA:
                    Télécharger le script fpa-fr.php dans: /public_html/cms/
                    Pour executer le script: http://www..com/cms/fpa-fr.php

                    En raison de la nature très sensible de l'information affichée par le script FPA, il doit être retiré immédiatement du serveur après son utilisation.

                    Pour supprimer le script de votre site, utilisez le lien de script de suppression fourni en haut de la page du script. Si le lien de suppression échoue pour supprimer le script, utilisez votre programme FTP pour le supprimer manuellement ou changer le nom une fois que le script a généré les données du site et le message publié sur le forum. Si le script est toujours présent sur le site, il peut être utilisé pour recueillir suffisamment d'informations pour pirater votre site. Le retrait du script empêche des étrangers de l'utiliser pour jeter un oeil à la façon dont votre site est structuré et de détecter les défauts qui peuvent être utilisé à vos dépends.
                    Voir plus
                    Voir moins

                    Partenaire de l'association

                    Réduire

                    Hébergeur Web PlanetHoster
                    Travaille ...
                    X