Discussion :

[July171292]

Bonjour,

Au travail, je suis chargée de réparer les bugs d'une application web que je n'ai pas conçus, développée avec ExtJs pour préciser.

Mon bug d'aujourd'hui : quand du texte avec apostrophe est enregistré en BDD, les apostrophes doublent.

Normalement quand on enregistre du texte avec apostrophe en bdd on doit faire ça pour éviter les erreurs sql :

Code php :

Sélectionner tout - Visualiser dans une fenêtre à part

$v = str_replace("'", "''", $v);

Cependant c'est cette ligne qui fait que les apostrophes doublent, quand j’enlève cette ligne sa marche nickel !

Le php exécute ensuite une procédure stockée SQL Server, voici l'extrait qui traite les données de type texte :

Code sql :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
begin transaction
-- Astuce pour récupérer une donnée text : créer une table temporaire
create table #ttTexte (Id int,Texte text)
insert into #ttTexte (Id,Texte) select 1,@sval
set @PDef = N'@pDate datetime'
set @SQL = 'update ' + @Col_Table_Nom + ' set ' + @Col_Colon_Nom +
'=Texte from #ttTexte WHERE Id = 1 and IdDate = @pDate '
execute sp_executesql @SQL, @PDef, @pDate = @idDate
drop table #ttTexte
end

Je pense que c'est cette partie de code qui empêche qu'une apostrophe vienne causé des erreurs SQL.

Ma question est... pourquoi ? Le fait de mettre le texte dans une table temporaire avant l'insertion empêche les erreurs SQL dus aux apostrophes ?

Je ne comprend pas, quelqu'un pourrait-il m'expliquer ?

Après quelqu'un va me dire, "mais osef tant que sa marche!" Mais non.

J'aime bien comprendre comment ça marche et surtout apprendre Smiley smile

Merci d'avance !

[solstyce39]

Normalement quand on enregistre du texte avec apostrophe en bdd on doit faire ça pour éviter les erreurs sql :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$v = str_replace("'", "''", $v);

oui et non, perso j'ai plus tendance à le faire avec des fonctions existantes (par exemple l'escape string de mysql http://php.net/manual/fr/function.my...ape-string.php ), dans le cas d'un SQL server l'équivalent doit bien exister quelque part, donc oui pour l'intention, mais pas forcément pour la méthode.

Après fouille rapide mysql_real_escape_string n'a pas l'air d'avoir d'équivalent pour MS SQL Server, donc ta méthode est correcte, mais ce n'est pas la seule possible

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
begin transaction
-- Astuce pour récupérer une donnée text : créer une table temporaire
create table #ttTexte (Id int,Texte text)
insert into #ttTexte (Id,Texte) select 1,@sval
set @PDef = N'@pDate datetime'
set @SQL = 'update ' + @Col_Table_Nom + ' set ' + @Col_Colon_Nom +
'=Texte from #ttTexte WHERE Id = 1 and IdDate = @pDate '
execute sp_executesql @SQL, @PDef, @pDate = @idDate
drop table #ttTexte
end

pour cette procédure stockée je n'ai pas l'impression qu'elle fasse quoique ce soit avec les quotes, n'y aurait il pas par exemple un trigger qui lui fait l'échappe avant les inserts ? je pense plutot que c'est de ce coté là qu'il faut regarder

Bilan : si le traitement est fait quelque part pas la peine de le faire 2 fois, pour ce qui est de savoir où, moi je pencherai plus vers un trigger qui lui s’exécute automatiquement au niveau de la base, et n'est pas appelé via PHP.

[Nightfall]

Doubler l'apostrophe est inutile ici parce qu'on ne récupère pas directement le contenu de la variable pour la mettre dans une chaîne sql.

Si j'écris :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$sql = "update latable set texte='c'est du texte' where id = 1";

Ca va planter parce que 'c'est du texte' contient une apostrophe donc la requête n'est pas syntaxiquement correcte, ce qu'on corrige en doublant l'apostrophe.

Mais la procédure stockée fait un truc équivalent à :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$sql = "update latable set texte = (select texte from autretable where id=1) where id = 1";

Ici peu importe ce que renvoie (select texte from autretable where id=1). Les apostrophes ne doivent pas être doublées.