Discussion :

[Sillimon]

Bonjour à tous !

Je me présente : Tutu, développeur en herbe !
Actuellement en stage, je rencontre différents problèmes et je m'appuie donc beaucoup sur l'aide de la communauté developpez.net pour m'accompagner dans mon auto-apprentissage !

Je vous présente mon problème (qui, à mon grand étonnement, n'avait pas l'air d'avoir été posé sur le forum :o )

Voilà j'ai créé un Form contenant une textbox, un button et une DataGridView !
J'aimerais faire un évènement sur le button_Click qui permettrait de récupérer l'ID (5386 par exemple) de ma textbox - soit TextBoxIdCrm.Value - et de faire une requête pour afficher dans ma DGV tout les contacts possédant cet ID, soit une requête qui ressemblerait (d'après mes frêles conaissances /!!!\ ) à ceci :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
"SELECT Contact_Name +' ' " +
"+ Contact_FirstName AS Contact_Info" +
", Contact_Phone " +
"FROM Contact " +
"WHERE id = TextBoxIdCrm.Value ";

(Il y a surement des erreurs, je le sais ! J'ai du m'inspirer d'un code déjà existant et le modifier pour espérer avoir la requête la plus correcte et propre possible)


En attente d'un grand savant ou de quelqu'un qui tend à le devenir,

Tutu.

[Népomucène]

Là, c'est sûr que cela ne marche pas car, telle qu'elle est écrite, ta requête SQL va chercher un id
qui serait présent dans une table qui s’appellerait TextBoxIdCrm dans une colonne qui s'appellerait value

Il faut que tu sortes TextBoxIdCrm.Value pour l'écrire :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
"SELECT Contact_Name +' ' " +
"+ Contact_FirstName AS Contact_Info" +
", Contact_Phone " +
"FROM Contact " +
"WHERE id =  " + TextBoxIdCrm.Value;

[Sillimon]

Aussi simple que ça ?!?

Merci beaucoup !

PS : Comment as-tu fait pour mettre le code avec cette présentation ? On m'a parlé d'une balise mais je ne vois pas comment l'utiliser

[Népomucène]

Pour la présentation du code (que j'avais oublié d'utiliser, merci al1_24 !)
il faut :
1) sélectionner le code
2) cliquer sur le bouton # dans la barre d'outils de mise en page

[Sillimon]

c'est noté ! Merci !!!

[StringBuilder]

Cette syntaxe (concaténation de chaîne de caractères pour gérer un paramètre SQL) est à éviter absolument :
- Risque d'injection SQL : que se passe-t-il au lieu de mettre "1234" dans la textbox, un utilisateur mal intentionné met "0;delete contact" ? Ça vide tout simplement la table Contact !
- Contre-performant : la requête est alors "littérale", c'est à dire que le paramètre "1234" fait partie intégrante du plan d'exécution compilé. Ainsi, si on relance la form en demandant l'ID "1235", le SGBD doit recompiler la requête pour déterminer un plan d'exécution.
- Instable : que se passe-t-il si l'utilisateur tape "mon joli ID" ? Plantage au niveau base de données, qui fait planter ensuite l'application. On met donc un temps énorme à se rendre compte de l'incohérence du paramètre, et on génère des erreurs dans le logs de la base de données pour rien (avec le risque de provoquer un ROLLBACK d'une transaction en cours).

Bref, on doit TOUJOURS utiliser des requêtes paramétrées :

http://webman.developpez.com/article...ameter/csharp/