Discussion :

[cvexxx]

Bonjour à tous

Je reviens vous voir pour vous poser une question concernant un problème que je rencontre avec Delphi 7 et la base de données Firebird 2.0.3 (la base importe peu dans mon cas).

J'ai crée un programme avec différents champs (donnée d'un client). Le problème est que lorsque l'utilisateur place des simple ou double quote, le programme plante à cause d'un mauvais échappement au niveau de la requête SQL.
Exemple : o'brian ou 3"5 (je sais ce cas ne se présentera pas mais on sait jamais...).

Voici mon bout de code pour vous montrer comment j'ai voulu régler le problème mais sans succès :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
requete := Format('INSERT INTO CLIENT (prenom_client, nom_client, adresse_client, cp_client, ville_client, pays_client) VALUES (%s, ''test'', ''test'', '+txt_cp_client.Text+', ''test'', ''test'')', [QuotedStr(txt_prenom_client.Text)]);
UIBQuery.SQL.Add(requete);

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
requete := 'INSERT INTO CLIENT (prenom_client, nom_client, adresse_client, cp_client, ville_client, pays_client) VALUES ('''+txt_prenom_client.Text+''', ''test'', ''test'', '+txt_cp_client.Text+', ''test'', ''test'')');
UIBQuery.SQL.Add(requete);

J'aimerai que quelqu'un me donne une marche à suivre ou m'aide pour régler ce problème.

Merci beaucoup de m'avoir lu

[pitango]

Bonjour,

Je ne connais pas Firebird , mais je te dirais
qu'il faut que tu passes soit par des paramètres, soit une fonction qui de double tes côtes, avant d'insérer ton champ.

A+

[Cl@udius]

Je ne connais pas Firebird , mais je te dirais
qu'il faut que tu passes soit par des paramètres, soit une fonction qui de double tes côtes, avant d'insérer ton champ.

+1
c'est exactement mon avis.

@+

[cvexxx]

Merci de vos réponses, je vais de ce pas m'atteler à me tourner vers vos réponses.

Par hasard, auriez-vous un bout de code pour me montrer ce que cela donne ?

Parametres = UIBDataSet ?

Merci !

[Lung]

QuotedStr ne sert pas à ça ?

[cvexxx]

Bah je ne sais pas mais avec le quotedstr, ça me fait tout de même des erreurs...

[pitango]

C'est parce que quotedstr ne fait qu'encadrer ta chaine.

Dans ton cas, après la concaténation, ta requête contiendra toujours des simple quote (o'brian), et c'est ton SGBD qui bloquera au premier '.

A+

[sjrd]

Non en principe QuotedStr va bien doubler les ' à l'intérieur de la chaîne.
Peux-tu nous montrer le résultat de QuotedStr, ainsi que de SQL.Text ?

[Cl@udius]

Salut

Non en principe QuotedStr va bien doubler les ' à l'intérieur de la chaîne.

Non pas du tout, j'en ai fait les frais. Il faut bien soit implémenter une fonction qui va doubler les ' ou - ce qui est nettement plus simple - utiliser des paramètres.

C'est la 1° fois que j'arrive à te contredire, je suis tout penaud.

@+ Claudius

[pitango]

j'en ai fait les frais

moi aussi.

A+

[Lung]

Non pas du tout, j'en ai fait les frais. Il faut bien soit implémenter une fonction qui va doubler les ' ou - ce qui est nettement plus simple - utiliser des paramètres.

Exact !
Je me suis déjà fait avoir aussi.
(m'en souvenais plus)

[Linkin]

Dans quel cas QuotedStr ne fonctionne-t-il pas? Cela m'intéresse.

Je l'utilise pour mes requetes et je n'ai aucun souci.

J'utilise Delphi 7 et Oracle

[cvexxx]

Dans quel cas QuotedStr ne fonctionne-t-il pas? Cela m'intéresse.

Je l'utilise pour mes requetes et je n'ai aucun souci.

J'utilise Delphi 7 et Oracle

Certainement quand il y a un peu trop de simple quote.

Mais j'ai abandonné l'utilisation du quotedStr, j'ai trouver après plusieurs heures de recherche et c'est carrément mieux que ce QuotedStr.

Merci beaucoup de vos réponses !

@bientôt

[pitango]

Dans quel cas QuotedStr ne fonctionne-t-il pas?

Je parle pour SQLserver. Si tu procède par concaténation et que tu as une requête de ce genre

ma_requete:='select champ1 from table1 where champ2 = '+valeur_str;

où valeur_str est un string.

Pour que cea fonctionne tu devras encadrer ta chaine par des quotes.
tu as alors deux solutions
ma_requete:='select champ1 from table1 where champ2 = '+quoted(valeur_str);
ou.
ma_requete:='select champ1 from table1 where champ2 = '''+valeur_str+'''';

Mais si ta chaine valeur_str possède un quote à l'intérieur ,
tu devras doubler tes quotes dans ta chaine où utiliser une requête paramétré.

A+

[Linkin]

Ok je testerais ça sous SQL Server, je n'ai pas ces problèmes avec Oracle