Discussion :

[hyipicai]

Bonjour,
j'ai un souci pour faire passer une requête entre VB.NET et Access
en fait, j'ai un caractère quote dans le texte que je dois insérer.
Il est impossible de modifier le texte donc la quote doit impérativement rester.

bref ca me donne

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

req = "Insert into synthese(nom_client,prenom_client,element) values ('" & myReader(0).ToString & "','" & myReader(1).ToString & "','" & myReader(2) & "')"

j'ai essayé avec des doubles guillemets à la place de la quote mais ca ne marche pas mieux

y-a-til une fonction qui transforme tout cela ?
ou une technique pour inserer le champs contenant une quote ?

Merci d'avance

[AP]

Même si ca en répond pas vraiment à ta question initiale, personnelement je passerais via une requete paramétrée. exemple: http://faqvbnet.developpez.com/?page...onet_execparam

[SaumonAgile]

Même si ca en répond pas vraiment à ta question initiale, personnelement je passerais via une requete paramétrée. exemple: http://faqvbnet.developpez.com/?page...onet_execparam

Au contraire, ton approche répond exactement à la problématique initiale

[JauB]

Bonjour,
j'ai un souci pour faire passer une requête entre VB.NET et Access
en fait, j'ai un caractère quote dans le texte que je dois insérer.
Il est impossible de modifier le texte donc la quote doit impérativement rester.

bref ca me donne

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

req = "Insert into synthese(nom_client,prenom_client,element) values ('" & myReader(0).ToString & "','" & myReader(1).ToString & "','" & myReader(2) & "')"

j'ai essayé avec des doubles guillemets à la place de la quote mais ca ne marche pas mieux

y-a-til une fonction qui transforme tout cela ?
ou une technique pour inserer le champs contenant une quote ?

Merci d'avance

sinon tu peux procéder comme suit:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

req = "Insert into synthese(nom_client,prenom_client,element) values ('" & Replace(myReader(0).ToString, "'", "''") & "','" & Replace(myReader(1).ToString, "'", "''") & "','" & Replace(myReader(2), "'", "''") & "')"

et ça marche

[SaumonAgile]

sinon tu peux procéder comme suit:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

req = "Insert into synthese(nom_client,prenom_client,element) values ('" & Replace(myReader(0).ToString, "'", "''") & "','" & Replace(myReader(1).ToString, "'", "''") & "','" & Replace(myReader(2), "'", "''") & "')"

et ça marche

Pitié non ! Evitons ce genre d'horreurs...

[iron182]

Pitié non ! Evitons ce genre d'horreurs...

berk t'as raison, d'ailleurs ce genre d'utilisation du sql devrait etre complétement banni a cause de la faille lié au SQL injection

[JauB]

berk t'as raison, d'ailleurs ce genre d'utilisation du sql devrait etre complétement banni a cause de la faille lié au SQL injection

ses données sont apparement extraites à partir d'une base de données et qu'il veut les réinsérer peut eêtre dans une autre base ou table donc je ne vois pas le risque des injections SQL, sinon ce dernier point reste un élément au quel il faut attention.

[SaumonAgile]

ses données sont apparement extraites à partir d'une base de données et qu'il veut les réinsérer peut eêtre dans une autre base ou table donc je ne vois pas le risque des injections SQL, sinon ce dernier point reste un élément au quel il faut attention.

Je n'ai jamais parlé de SQL injection. L'approche utilisant le replace est ignoble dans tous les cas...
Alors pour ton information (extrait d'une précédente discussion) :

Premier point s'il est nécessaire de le rappeler, ça évite les problèmes de DateTime. Le IDataParameter est de type DateTime, le champ dans la base est de type DateTime, la valeur qu'on veut lui passer est de type DateTime, ça ne vous a jamais choqué de devoir convertir vos valeurs en string dans vos requêtes (que ce soit un DateTime ou autre chose) ?

Deuxième point : Une fois votre requête écrite avec les paramètres, elle ne change plus quelle que soit la valeur que vous mettrez ensuite dans le paramètre. Clin d'oeil à tous ceux qui concatènent leur requête INSERT dans une boucle.

Troisième point (lié au deuxième) : les SGBD standards mettent en cache les requêtes, une requête paramétrée est enregistrée efficacement et optimisée dans le cache, les requêtes construites en dur polluent le cache.

Quatrième point : Le fait d'utiliser des paramètres SQL vous met définitivement à l'abri des erreurs (trop fréquentes) de "J'ai un apostrophe dans ma chaine, ça fait tout casser ma requête Ouin/Ouin/Please/Up/Résolu/Boulet".

Cinquième point : vous vous mettez à l'abri des SQL Injections, pour tous ceux d'entre vous qui concatènent directement un TextBox dans leur requête.

Sixième point : En utilisant concaténant vos valeurs dans la requête, vous introduisez une source d'erreur, une couche d'illisibilité supplémentaire.

Septième point : En concaténant la requête, vous passez à côté de toute la belle gestion des erreurs du framework en abandonnant une hypothétique invalidecastexception en débogage au 'profit' d'une espèce d'erreur SQL générique qui ne vous donne aux mieux qu'une appréciation minable de la source de l'erreur.

Voila.