Discussion :

[majduuus]

Bonjour j'ai un bouton recherche qui permet de créer une requête sql en fonction des champs saisis auparavant mais le programme plante lorsque j'utilise des quotes à l'intérieur des champs saisies par exemple si je saisi

dans le champ message l'histoire il va l'introduire comme ceci

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
 
select * from biblio
where message = 'l'histoire'

donc c'est un problème de caractères. comment je pourrais éliminer ceci

[callo]

On ne le dira pas assez, il est plus sécurisant de passer par les requêtes paramétrées. Un truc du genre:

Code c# :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
string marequete = "select * from biblio WHERE message = @MonParametre";
maCmd.Parameters.Add(new SqlParameter("@MonParametre", SqlDbType.VarChar, 30));
maCmd.Parameters["@MonParametre"].Value = MonTextBox.Text;
maCmd.CommandText = marequete;
// ouvrir ta connexion 
MaConnexion.Open();
myReader = maCmd.ExecuteReader(CommandBehavior.CloseConnection);

[majduuus]

c'est une simple application je sais que c'est plus sécurisant

[callo]

c'est une simple application je sais que c'est plus sécurisant

Que sous-entend tu par simple application? "une simple application" n'a t-il pas besoin d'avoir un minimum de sécurité? A mon avis, quel que soit le type d'applications, les bonnes pratiques de développement doivent-être adoptées.

[DotNetMatt]

Au-delà de l'aspect sécurité, c'est surtout une best practice

Que ce soit pour une simple application ou pour une énorme application, les utiliser évite de devoir gérer bien des soucis, dont l'échappement des chaînes de caractères, le format des dates, etc...

Donc c'est à utiliser partout, tout le temps et sans hésiter !

[majduuus]

Et si le paramétre est vide il le prend pas en compte ? parce que je suis pas habitué à les utiliser

[callo]

Et si le paramétre est vide il le prend pas en compte ?

Seuls les enregistrements correspondants au paramètre transmis à la requête seront retournés.

parce que je suis pas habitué à les utiliser

Bah, il y a un début à tout. Tu ne connaissais peut-être pas les requêtes paramétrées avant. Mais maintenant que t'a l'info, tu ne devras pas hésiter à t'y mettre. Ce n'est pas du tout compliqué . D'ailleurs le lien que j'avais donné dans ma première réponse serait un bon début.

[sisqo60]

Bonjour,

Certes les requêtes paramétrées sont la solution idéale, en plus de la sécurité, elles te permettent de laisser gérer le connecteur .net les problématiques de culture : exemple tu envoies la requête suivante

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

select * from matable where monChampDate = '01/02/2013'

Si ton serveur a une culture anglaise tu auras le 2 janvier au lieu du 1 février. C'est une explication supplémentaire.

Pour ton information, il faut doubler les quotes pour que les quotes soient interprétées en tant que tel.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
select * from biblio
where message = 'l''histoire'

Bon dév.