Discussion :

[Freygolow]

Bonjour,
J'aimerai inserer une variable dans une requete SQL mais ce que je fais n'a pas l'air de fonctionner :s

voici le code:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
         <%  int x = 1980;
         while (x < DateTime.Today.Year)
         {
             %>
 
    <div>
 
        <asp:AccessDataSource ID="ListePub" runat="server" 
            DataFile="~/pub.mdb" 
 
            SelectCommand="SELECT [Identificateur], [Auteurs], [Titre], [Comment], [Journal], [Volume], [Pages], [Annee], [Livre], [Jrnl], [doi] FROM [Publications] WHERE (([Annee] = ?) AND ([IPadress] = ?)) ORDER BY [DateCreation]" >
            <SelectParameters>
                <asp:QueryStringParameter DefaultValue='<%=x%>' Name="Annee" 
                    QueryStringField="pp" Type="Int16" />
                <asp:QueryStringParameter DefaultValue="165.91.02.48" Name="IPadress" 
                    QueryStringField="IPadress" Type="String" />
            </SelectParameters>
        </asp:AccessDataSource>
...
...
...
...
...

Je pense que cela vient d'une erreur de syntaxe. Pouvez vous m'aider s'il vous plait?

Je vous remercie

[callo]

Bonjour,
J'aimerai inserer une variable dans une requete SQL mais ce que je fais n'a pas l'air de fonctionner :s

Le mieux c'est de passer par les SqlParameters Tu peux faire un tour ici ou ici

[Freygolow]

Je te remercie pour ta réponse

Malgrès avoir lu les tuto que tu m'a fourni, je ne vois pas comment inclure cette ligne pour les requetes parametrées.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
myCommand.Parameters.Add(new SqlParameter("@annee", SqlDbType.Int, 4)); 
 
myCommand.Parameters["@annee"].Value = Convert.ToInt32(maTextBox1.Text);

Ma façon de faire la requête est vraiment différente de celle des tuto, je ne sais donc pas comment l'adapté :s

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
        <asp:AccessDataSource ID="ListePub" runat="server" 
            DataFile="~/base.mdb" 
 
            SelectCommand="SELECT [Identificateur], [Auteurs], [Titre], [Comment], [Journal], [Volume], [Pages], [Annee], [Livre], [Jrnl], [doi] FROM [Publications] WHERE (([Annee] = @annee) AND ([IPadress] = ?)) ORDER BY [DateCreation]" >
            <SelectParameters>
                <asp:QueryStringParameter DefaultValue="<%=x%>" Name="annee" 
                    QueryStringField="annee" Type="String" />
                <asp:QueryStringParameter DefaultValue="125.122.11.01" Name="IPadress" 
                    QueryStringField="IPadress" Type="String" />
            </SelectParameters>
        </asp:AccessDataSource>

Pour résumé le probleme, la variable x n'est pas prise en compte, d'ailleur ça ne compile pas :s

[Lapobo]

Le plus simple
ListePub.SelectCommand = String.Format(maRequete, maTextBox1.Text);
et tu remplace ? par {0} dans ta requete

[SaumonAgile]

Le plus simple
ListePub.SelectCommand = String.Format(maRequete, maTextBox1.Text);
et tu remplace ? par {0} dans ta requete

Et comment tu fais si dans le textbox, je saisis :

''));DROP DATABASE;--

La solution avec les paramètres est la bonne, ta solution est une erreur de développement.

[callo]

La solution avec les paramètres est la bonne

toujours

[Freygolow]

Pouvez vous me montrer comment vous faites marcher votre solution avec les paramètres s'il vous plait. J'ai essayé en faisant de nombreux tests à 8h-12h, 13h-17h aujourd'hui et je n'ai toujours pas trouvé :/

A vous entendre dire, ça parait tellement simple que ça me fait peur à propos de mes compétences bien que je débute dans l'asp.net

Je vous remercie.

[Lapobo]

Ben le privilege Drop Database ne ce donne pas à n'importe qui

[SaumonAgile]

Ben le privilege Drop Database ne ce donne pas à n'importe qui

Tu ne comprends pas le problème. Ce qui est important ce n'est pas le "drop database", c'est la possibilité d'exécuter une requête arbitraire. Si tu préfères, remplace par "select * from clients"...

[Freygolow]

Dans mon cas, la variable n'est pas la valeur entrée dans une Textbox mais un compteur qui est incrémenter dans chaque tour de boucles :s

pour essayer de simplifier ma question:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
<% int x = 10;
while(x<100){ %>
 
        <asp:AccessDataSource ID="ListePub" runat="server" 
            DataFile="~/base.mdb" 
 
            SelectCommand="SELECT * FROM client WHERE ([Annee] = @annee) " >
            <SelectParameters>
                <asp:QueryStringParameter DefaultValue="<%=x%>" Name="annee" 
                    QueryStringField="annee" Type="String" />
 
            </SelectParameters>
        </asp:AccessDataSource>
 
<% 
x++;
} %>

La méthode que j'ai utilisée ici ne marche pas.
J'aimerai donc savoir comment faire en sorte que la requete marche lorsque x est présent.

[SaumonAgile]

Dans mon cas, la variable n'est pas la valeur entrée dans une Textbox mais un compteur qui est incrémenté dans chaque tour de boucles

Dans mon article, je parle aussi des raisons autre que la sécurité pour mettre en avant les paramètres SQL. Il y a par exemple des problématiques de performances. C'est aussi à prendre en considération.

[Freygolow]

Le probleme c'est j'ai beau lire l'article, mais je ne vois pas comment le mettre en pratique dans mon exemple.
On utilise pas la meme méthode j'ai l'impression

J'essai d'inserer tes exemples un peu partout mais rien y fait