Discussion :

[rbkclg]

Bonjour,

Une partie de mon code vb me pose des problèmes, c'est au moment de l'insertion des données dans sql server.

J'ai souvent des "erreurs de syntaxe vers(...)" jusqu'à présent j'arrivais à les résoudre mais pas celle-ci ! les ... représentent souvent ma variable de textbox.

Ici, il s'agit d'insérer une textbox qui comprend un email. Sql ne semble pas prendre tout l'email, il s'arrête au point avant le .fr ou .com (voir le message d'erreur)

Voici l'extrait de mon code :

Si vous avez une idée !

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
 connexion.ConnectionString = " server= nomdemonserveur;Initial Catalog= nomdelatable;Integrated Security=true;"
        connexion.Open()
        With ajout_prop
            .Connection = connexion
            .CommandText = "INSERT INTO Liste_remarques (objet, [code equipe], [amelioration proposee], [Date de soumission], Email , Nom, [Pièce jointe]) VALUES ('" & objet.Text & "','" & code.Text & "','" & amelioration_p.Text & "','" & majDate & " ,'" & Email.Text & "','" & Nom.Text & "','" & ajout_pj.SafeFileName & "')"
            .ExecuteNonQuery()

merci à vous !!

[sevyc64]

JE dirais qu'il doit manquer une ' quelque part juste avant la valeur de l’émail que tu essayer d'insérer

Mais un point d'arret sur la lige "ExecuteNonQuery" et regarde le contenu de CommandText au moment ou tu est arrêté pour voir ce que contient ta requête réellement

[rbkclg]

bien vu !
à force d'avoir la tete dedans on ne voit plus les trucs tout bête !

JE dirais qu'il doit manquer une ' quelque part juste avant la valeur de l’émail que tu essayer d'insérer

Mais un point d'arret sur la lige "ExecuteNonQuery" et regarde le contenu de CommandText au moment ou tu est arrêté pour voir ce que contient ta requête réellement

[sqllm]

Bonjour

Attention si le contenu d'une de vos variables contient une apostrophe cela ne fonctionnera plus ! Il faudrait echapper ce caractere en le doublant.

De plus c'est peut etre une bonne idee de creer une fonction qui "encadre" la variable d'apostrophe. Cela permet de ne plus se soucier d ajouter manuellement les apostrophes. Ca evite les risques d'erreur

Par exemple

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
... " VALUES (" & ApostrophesEncadrer(objet.Text) & "," & ApostrophesEncadrer(code.Text) ...

[StringBuilder]

Selon mon point de vue, l'utilisation d'une fonction telle que votre "ApostrophesEncadrer" mérite au mieux un licenciement pour faute grave, au pire pour faute lourde.

Utilisez une requête paramétrée.

C'est plus sécurisé, plus fiable, plus rapide.
En effet, si le paramètre est invalide :
- Aucune injection SQL n'est possible
- Les cas à la con que vous n'avez pas imaginé sont pris en charge
- Le paramètre invalide est rejeté par le programme avant même d'être envoyé au serveur

Et dans tous les cas, le même plan d'exécution pourra être réutilisé avec des paramètres différents, augmentant de façon drastique les performances générales du serveur de base de données (baisse importance de la latence et de la charge CPU)

https://msdn.microsoft.com/en-us/lib...vs.110%29.aspx

[rbkclg]

Merci pour les apostrophes, je n'avais pas tiltlé , je ne testais qu'avec du lorem ipsum ..

Pouvez-vous me confirmer que je comprends bien les requêtes paramétrées :

Si j'ai une variable nommée "amelioration.text" qui peut contenir des apostrophes alors dans mon code je devrais avoir :
- dans INSERT TO la variable indiquée comme ceci "@amelioration.text" à la place de & amelioration.text &
- .parameters("@amelioration.text", oledbType.VarChar, 8000)) dans ma partie "command"

Est-ce ok ?

merci

[StringBuilder]

C'est ça.

En revanche, les noms de variables ne doivent (je pense) pas contenir de point.

Aussi, dans la création du paramètre, il ne faut pas mettre le @ :

Code csharp :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 
cmd.CommandText = "INSERT INTO matable (colonne1, colonne2, colonne3) values (@parametre1, @parametre2, @parametre3)";
pParam1 = cmd.Parameters.Add("parametre1", oledbType.VarChar, 8000));
pParam1.Value = amelioration.Text;

Syntaxe "de tête" sans VS sous la main, et en C# qui plus est. Mais bon, logiquement tu devrais t'en sortir avec l'intellisense