SQL dans joomla

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • [RÉGLÉ] SQL dans joomla

    Bonjour,

    j'ai un petit problème pour faire une requete SQL dans joomla.
    En gros j'ai l'id abonnement dans l'url et je souhaite retrouver le user id joomla correspondant et l'afficher en echo. (l'afficher en echo n'est qu'un test avant de passer à l'utilisation de cet ID)

    Code PHP:
    $id_abo $_GET['id'];

    $db JFactory::getDBO();

            
    $db->setQuery("SELECT user_id FROM # __emerald_subscriptions WHERE id = " $id_abo);

            
    $result $db->loadResult();

            echo 
    'ID user : ' $result['user_id']; 
    Lorsque j'ajoute la ligne 4 "$result = $db->loadResult();" et que je refresh la page est blanche, totalement, le code source anonce juste le chargement du head, body, et 2/3 pages css mais le visuel est blanc, je m'attendais à ma page normal + "ID user : 152"

    Mais rien. Si par contre dans mon code je retire la ligne deux, je récupère ma page mais sans résultat, juste avec "user ID : "

    J'avais appris un peu de php, assez pour me créer un petit gestionnaire clients avec base de donnée administrable depuis un navigateur, mais dans Joomla tout est diférent niveau requetes sql, j'ai développé des outils php sous joomla sans soucis, mais ca ne touchait pas à la base de donnée.

    J'ai beau regarder sur le net, ou même dans les composants installés je ne trouve rien qui fonctionne.

    Si quel'un sait, merci d'avance.
    Dernière édition par Minie à 17/11/2016, 16h54

  • #2
    Re : SQL dans joomla

    Bonsoir,

    Au niveau de la requête, je pense que vous avez mis un espace entre # et __ qui n'a pas de raison d'être là.

    Pascal
    If anything can go wrong, it will...If I can help, I will ..https://conseilgouz.com

    Commentaire


    • #3
      Re : SQL dans joomla

      Bonsoir,

      merci Malheureusement le problème vient de la ligne loadresult donc après correction le problème persiste.

      Commentaire


      • #4
        Re : SQL dans joomla

        Vous devriez essayer
        Code:
        $id_abo = $_GET['id']; 
        $db = JFactory::getDBO(); 
        $query = $db->getQuery(true);
        $query->select('user_id')
        ->from('#__emerald_subscriptions')
        ->where('id = ' . $id_abo);
        $db->setQuery($query); 
        $result = $db->loadResult(); 
        echo 'ID user : ' . $result['user_id'];
        Pascal
        If anything can go wrong, it will...If I can help, I will ..https://conseilgouz.com

        Commentaire


        • #5
          Re : SQL dans joomla

          un lien utile pour toi

          Commentaire


          • #6
            Re : SQL dans joomla

            Bonjour

            Attention à la sécurité. La lecture du paramètre id en première ligne n'est absolument pas sécurisé mais peut-être est-ce pour ne donner qu'un exemple simplifié.

            Bonne journée
            Christophe (cavo789)
            Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
            Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

            Commentaire


            • #7
              Re : SQL dans joomla

              Bonsoir,

              Envoyé par lefabdu51 Voir le message
              Merci grâce à ce lien j'ai trouvé la page de la même série d'info correspondant à ce que je cherche ICI. Je vais étudier ca et voir si enfin ca fonctionne

              @cavo789 : Oui en effet je décompose tout au début histoire de m'y retrouver plus facilement quand je ne suis pas sur d'atteindre mon but rapidement Par contre ca m'intéresse de savoir pourquoi est-ce un problème de sécurité ?

              Bonne soirée

              Commentaire


              • #8
                Re : SQL dans joomla

                Salut

                Renseigne-toi sur "SQL Injection", premier lien Google : https://www.veracode.com/security/sql-injection

                En très court :

                $id_abo = $_GET['id'];

                Toi, tu penses que "id" est un chiffre mais tu n'as rien fait pour garantir cela.

                Si je fais tonscript.php?id=1 OR 1=1

                Ton id_abo va alors contenir "1 OR 1=1"

                Ta ligne

                $db->setQuery("SELECT user_id FROM # __emerald_subscriptions WHERE id = " . $id_abo);

                va donc retourner l'ensemble de tes utilisateurs et pas seulement un seul; ceci puisque 1=1 est toujours vrai.

                A partir de là, avec une SQL Injection, on peut aussi s'amuser à mettre des subqueries pour p.ex. afficher le user_id (dans ton cas, c'est le seul champs de ton Select) du super-admin ou on peut faire un DROP TABLE ou un DROP DATABASE ou ...

                Tu l'as compris : ton script est un vrai danger si tu fais aveuglement confiance à des valeurs entrées sans contrôle aucun.
                Christophe (cavo789)
                Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
                Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

                Commentaire


                • #9
                  Re : SQL dans joomla

                  Bonjour,

                  j'ai fini mon code, je donne ici ma solution pour les suivants.
                  Rappel : Afficher l'adresse de livraison de l'utilisateur hikashop sur la page détail de son abonnement emerald
                  Rappel de l'url de cette page : /abonnements?view=emsale&layout=edit&id=6

                  Code PHP:
                  <?php 
                      $id_abo 
                  JRequest::getInt('id'0);
                              
                      
                  $db JFactory::getDBO();
                              
                          
                  $db->setQuery('SELECT user_id FROM #__emerald_subscriptions WHERE id = ' $id_abo);
                          
                  $emarald_result $db->loadObject();
                              
                          
                  $db->setQuery('SELECT user_id FROM #__hikashop_user WHERE user_cms_id = ' $emarald_result->user_id);
                          
                  $hika_result $db->loadObject();
                              
                          
                  $db->setQuery('SELECT * FROM #__hikashop_address WHERE address_user_id = ' $hika_result->user_id);
                          
                  $hika_adress_result $db->loadObject();
                          
                  ?>
                          
                          <div id="user_adress">
                          <h3>Adresse de livraison</h3>
                          <p><?php echo $hika_adress_result->address_title ' ' $hika_adress_result->address_firstname ' ' $hika_adress_result->address_lastname '<br />' $hika_adress_result->address_street '<br />' $hika_adress_result->address_post_code ' ' $hika_adress_result->address_city?></p>
                          
                          <h3>Tel contact</h3>
                          <p><?php echo $hika_adress_result->address_telephone?></p>
                          </div>
                  Voila problème réglé.

                  Commentaire


                  • #10
                    Re : SQL dans joomla

                    Tu passes ton post en Réglé ?

                    Bonne journée.
                    Christophe (cavo789)
                    Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
                    Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

                    Commentaire

                    Annonce

                    Réduire
                    Aucune annonce pour le moment.

                    Partenaire de l'association

                    Réduire

                    Hébergeur Web PlanetHoster
                    Travaille ...
                    X