Untitled

<?php
require_once('db.php'); //Dans ce script, je mettrais juste ce qu'il faut pour ouvrir la DB

//Fonction pour éviter les injections SQL dans les chaines de caractères
//A coller dans une lib et à utiliser partout où il faut, càd pour les chaines qui seront insérées dans un SQL.
//Quand tu as affaire à des entiers, il suffit de caster en int : (int)$_POST['x']
function Pure($s) {return get_magic_quotes_gpc() ? $s : mysql_real_escape_string($s);}


?>HEADER<?php
if (isset($_POST['go']))
{
    $genre = Pure($_POST['genre']);
    $q = mysql_query("SELECT * FROM livre WHERE genre='$genre';");
    echo '<table>';
    if (mysql_num_rows($q)) {
        while ($r = mysql_fetch_assoc($q))
            echo "<tr><td>{$r['id']}</td><td>{$r['titre']}</td><td>{$r['auteur']}</td><td>{$r['annee']}</td><td>{$r['genre']}</td><td>{$r['etat']}</td></tr>\n";}
    else echo '<tr><td colspan="2">Pas de résultats ...</td></tr>';
    echo '</table>';

    //pas de fermeture de DB, PHP fait ça tout seul.
    //autant ne pas allonger le script pour rien
}
else
{?>Critère de recherche (genre) :<br/>
<form action="?" method="post"><fieldset> <!-- point d'interrogation voulu, ne pas modifier -->
    <table align="center" border=0 cellpadding=10 cellspacing=1>
        <tr>
            <td>Genre</td>
            <td><select name="genre">
                <option value=""></option>
                <option value="roman">Roman</option>
                <option value="poesie">Poésie</option>
                <option value="developpement">Developpement</option>
            </select></td>
        </tr>
        <tr>
            <td colspan="2"><input type="submit" name="go" value="Afficher" /></td>
        </tr>
    </table>
</fieldset></form><?php
}
?>FOOTER