Discussion :

[flora806]

Bonjour,
je souhaiterais tout simplement que ma requete SQL prenne en compte le clientID en parametre de la methode "getItmfromBD".

vous avez une idée?
Merci

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
 
public Integer getItmfromBD(Integer clientID){
 
 
	try{
 
 
	String url = "jdbc:mysql://localhost/BD";
	  String user = "root";
	  String password = null;
	  Connection connection = DriverManager.getConnection(url, user, password);
 
 
	  Statement st = connection.createStatement();
 
	  ResultSet rs = st.executeQuery(
 
	  "SELECT clientID, itemID, price FROM ClienTab WHERE ClienTab.clientID = 'clientID' ORDER BY ClienTab.price DESC LIMIT 10  "		  
 
			    );
 
	  while (rs.next()) {
		  int s = rs.getInt("clientID");
		  int n = rs.getInt("itemID");
 
		  System.out.println(s + "   " + n);
		  } 
 
	  connection.close();
 
	}
 
	catch(SQLException ex) {
	     ...........
	     }
	 }
 
 
	}

[tchize_]

un petit tour dans les FAQs jdbc de ce site et particulièrement de requêtes paramétrée devrais te donner la solution.

[Ivelios]

Pour rejoindre tchize regarde les preparedStatement
Autre solution mais à ne pas faire (mais je la donne quand même ):

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

ResultSet rs = st.executeQuery( "SELECT clientID, itemID, price FROM ClienTab WHERE ClienTab.clientID = '"+clientID="' ORDER BY ClienTab.price DESC LIMIT 10  "

[tchize_]

aussi suicidaire que de désamorcer une grenade les yeux fermés sans jamais en avoir vu une de sa vie.

[flora806]

Merci, je viens de faire ça et ça marche
pourquoi ça serait risqué??

Pour rejoindre tchize regarde les preparedStatement
Autre solution mais à ne pas faire (mais je la donne quand même ):

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

ResultSet rs = st.executeQuery( "SELECT clientID, itemID, price FROM ClienTab WHERE ClienTab.clientID = '"+clientID="' ORDER BY ClienTab.price DESC LIMIT 10  "

[Ivelios]

reponse ici
Permet d'éviter entre autre le tristement célèbre 'OR 1 = 1' qui est interprété : "toujours vrai"
Par exemple pour les mot de passe sur un site, 'OR 1 = 1' sert de passe partout si ce n'est pas sécurisé...

[tchize_]

Merci, je viens de faire ça et ça marche
pourquoi ça serait risqué??

SQL injection