Untitled

<form action="test.php" method="post">
	Marque : <input type="text" name="brand" />

<?php if (isset($_POST['brand']) && empty($_POST['brand'])): ?>
		Veuillez renseigner votre pseudo<br />
<?php endif ?>
<br />
	Modèle : <input type="text" name="model" />
	<br />

	Couleur : <input type="text" name="color" />
	<br />

	<input type="submit" name="submit" value="Valider" />
</form>

<?php
if (!empty($_POST['brand']) && !empty($_POST['model']) && !empty($_POST['color'])) {

	// Affichage de la marque avec protection contre les failles XSS
	echo 'la marque est : ' . htmlspecialchars($_POST['brand'],  ENT_QUOTES) . '<br>';

	// Connexion au serveur MySQL et sélection de la base de données
	$link = mysqli_connect ( "localhost" , "root" , "" , "test2" );

	// Vérification de la connexion au serveur de base de données
	if (! $link ) {
		// Si il y a une erreur de connexion, arrêt du script avec affichage de l’erreur
		die( 'Erreur de connexion au serveur MySQL : ' . mysqli_connect_error ());
	}

	// Sécurité : protection contre les injections SQL
	$brand = mysqli_real_escape_string ( $link , $_POST['brand'] );
	$model = mysqli_real_escape_string ( $link , $_POST['model'] );
	$color = mysqli_real_escape_string ( $link , $_POST['color'] );

	// Construction de la requête SQL
	$sqlQuery = "INSERT INTO car (brand, model, color) VALUES ('%s', '%s', '%s')";
	$sqlQuery = sprintf($sqlQuery, $brand, $model, $color);

	// Insertion des données
	$result = mysqli_query ( $link , $sqlQuery);

	// Vérification de la bonne exécution de la requête
	if (! $result ) {
		// Si il y a une erreur lors de l’exécution de la requête, arrêt du script avec affichage de l’erreur
		die( 'Erreur de l’exécution de la requête SQL : ' . mysqli_error ( $link ));
	}

	// Fermeture de la connexion
	mysqli_close ( $link );

	echo "L'insertion s'est effectuée avec succès";
}
?>