Bonjour
Je me pose cette question sans réponse
Comment enregistrer une virgule dans un champs de table SQL
Pour une cote " ' " , je la double , mais pour une virgule, comment faire cela
Merci bien de votre aide
Bonjour
Je me pose cette question sans réponse
Comment enregistrer une virgule dans un champs de table SQL
Pour une cote " ' " , je la double , mais pour une virgule, comment faire cela
Merci bien de votre aide
La Connaissance est comme la joie elle s'accroît en la partageant!
C'est une très mauvaise pratique.Pour une cote " ' " , je la double
En utilisant la seule vraie méthode qui fonctionne : les requêtes paramétrées.mais pour une virgule, comment faire cela
Merci pour la remarque
Et de cette façon le virgule et cote passerons de manière tout a fait normale?
La Connaissance est comme la joie elle s'accroît en la partageant!
Avec cette méthode tu écris ta requête sans se soucier des paramètres. Tu indiques simplement où se trouve les paramètres dans la requête puis tu indiques leur valeur sans se soucier d'échapper des caractères.
Effectivement cela fonctionne très bien, je viens de modifier le code d'un UPDATE et tout passe bien.
Un peut plus long a écrire mais plus sécurisant aussi
La Connaissance est comme la joie elle s'accroît en la partageant!
Plus sécurisant mais aussi plus lisible et plus performant.
ca devrait obligatoire pour les string, les dates et tout ce qui vient d'un textbox pour un site web
pour les string ca évite les problèmes avec les '
pour les dates ca évite les problèmes de paramétrage du format de date d'un pc à l'autre
et niveau sécurité il y a une faille bien connue qui s'appelle l'injection sql, si un utilisateur rentre du code sql dans un textbox et que tu concatènes il va pouvoir s'amuser sur ta base de données
(encore quelques gros sites ont des failles de ce genre aujourd'hui, c'est aberrant)
un exemple simple tu as site avec un textbox permettant de filtrer par rapport à un nom et un datagrid qui affiche les données suite au clic sur un bouton
avec un requete type "select [nom colonnes] FROM tables where tellecolonne like '%' + " & me.textbox1.text & " + '%'"
l'utilisateur peut écrire dans le textbox
'%' union select name, null, null from sys.tables --
la requete lui affichera la liste des tables
après il fait pareil pour les colonnes et après il va lire la liste des utilisateurs et tout le reste de la base de données et il pourra faire les dégâts qu'il veut
avec les requetes paramétrés ce qui est dans le textbox ne sera qu'un string et ne pourra jamais être exécuté
Vous avez un bloqueur de publicités installé.
Le Club Developpez.com n'affiche que des publicités IT, discrètes et non intrusives.
Afin que nous puissions continuer à vous fournir gratuitement du contenu de qualité, merci de nous soutenir en désactivant votre bloqueur de publicités sur Developpez.com.
Partager