Discussion :

[meavy]

bonjour,

j'ai un petit souci en fait j'ai un programme qui enregistre dans une petite base de données des infos et ces infos peuvent être des requêtes SQL... et qui dit requêtes SQL dit une multitude de caractères qui peuvent très facilement me fausser ma requete qui enregistre ces infos dans ma base ... doit-je passer par des expressions regulieres ou y a-t-i dautres moyens ?


merci d'avance pour vos réponses ...

[Alkhan]

bonjour,

Normalement, si tu enregistres des 'requêtes' en base tu ne dois pas avoir de problème car cela doit se trouver entre des cotes.

Pourrais tu mettre un exemple de code, tu as peut être un autre problème !!

[meavy]

en fait j'ai concu comme une sorte de formulaire dans lequel j'ai un JTextPane dans lequel l'utilisateur saisi sa requete.

dans mon programme ( bon je vais pas mettre le code de connection, de requete etc ca ca marche deja ... ) j'ai fait une requete qui stocke dans ma base ce que l'utilisateur a écrit dans le JTextPane ... je l'ai mise dans un string de la facon suivante

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
 
 
String varinsert;
 
varinsert = "INSERT INTO T_Features (champ1, champ2, champ3, larequete ) VALUES ('valeur1', 'valeur2', 'valeur3', ' ";
 
String larequeteduuser = (String) monjtextpane.getText();
 
varinsert+= larequeteduuser +"');" ;

du coup quanf l'utilisateur sasit sa requete celle ci contient des point virgules des guillemets etc et ca fausse tout ...

[OButterlin]

Il ne devrait y avoir aucun problème en passant par un PreparedStatement.
Par contre, si tu passes par Statement, galère assurée

A+

[meavy]

ah oui je passe en effet avec un Statement ... le preparedStatement d'apres ce que j'ai lu précompile la requete donnée ... je me suis donc posé la question de par exemple si ma requete comprend des guillemets elle risque de me faire foirer ma chaine

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

varinsert

puisque par exemple si j'ai une requete du type

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

Select * From matable Where monnom="meavy"

ca me tue mon

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

varinsert

...

[OButterlin]

Des quotes tu veux dire, parce que SQL n'aime pas les doubles-quotes.
Le preparedStatement ne posera aucun problème, tu n'auras pas besoin de faire de traitement particulier sur les valeurs passées.
Exemple

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
 
PreparedStatement pstmt = connection.prepareStatement("insert into MaTable(colNum1, colString2) values(?, ?)");
pstmt.setInt(1, unEntier);
pstmt.setString(2, uneChaine);
pstmt.executeUpdate();

Si "uneChaine" contient "insert into TOTO values(10, 'un texte a insérer')", tout ira pour le mieux.
En plus, avec le PreparedStatement, tu ne risques pas l'injection SQL, il faut vraiment utiliser cette méthode au maximum dans tes applications

[meavy]

ok merci !!! je vais faire un coup de balai dans mon appli ... tout va passer en preparedstatement ..

[meavy]

salut !

j'ai un gros souci là je bloque là ... j'ai laissé le changement des statement en prepared statement à la fin pensant que c'était une histoire rapide ...

mais une fois que j'ai fini le boulot j'obtient une NullPointerException de je ne sais pas ou ca sort ... je l'ai en fait à la ligne

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
PreparedStatement ppstmt = this.myconnection.prepareStatement("SELECT Node_Name FROM T_Features WHERE Node_ID=?;");

sachant qu'avant dans ma classe j'ai bien un objet Connection qui arrive à faire la connection avec la base de données sans problèmes (normal puisque je n'y ait pas touché depuis la dernière fois où j'utilisait les statement ... )


quelqu'un a une idée ??



PS : J'ai bien verifié lors de la creation de mon prepared statement que la connection est créée donc pas de souci de ce coté là ...

[meavy]

bonjour pour ce souci là c'est résolu j'ai vraiment galéré pour rien, le souci etait tout simplement que je mettait des cotes simples avant et apres le point d'interrogation :s :s :s :s .....


sinon je ne sais pas si c'est du a une faute bete aussi mais j'ai cette erreur là :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
 
java.sql.SQLException: General error
	at sun.jdbc.odbc.JdbcOdbc.createSQLException(Unknown Source)
	at sun.jdbc.odbc.JdbcOdbc.standardError(Unknown Source)
	at sun.jdbc.odbc.JdbcOdbc.SQLExecute(Unknown Source)
	at sun.jdbc.odbc.JdbcOdbcPreparedStatement.execute(Unknown Source)
	at sun.jdbc.odbc.JdbcOdbcPreparedStatement.executeUpdate(Unknown Source)

en reference a la ligne suivante

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
ppstmt.executeUpdate();

sachant que ppstmt est un PreparedStatement :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
 
 
PreparedStatement ppstmt = connection.prepareStatement("INSERT INTO T_Features (Node_ID, Node_Name, Weight, Mit_Name, Th_Definition, Th_Alg, Mit_Alg, User_Data, Remarks ) VALUES (?,?,?,?,?,?,?,?,?);");
 
ppstmt.setString(1, A);
ppstmt.setString(2, B);
ppstmt.setString(3, C);
ppstmt.setString(4, D);
ppstmt.setString(5, E);
ppstmt.setString(6, F);
ppstmt.setString(7, G);
ppstmt.setString(8, H);
ppstmt.setString(9, I);

[OButterlin]

Comment ouvres-tu la connexion ?
Autre chose, quelle base de données utilises-tu ?
Il serait préférable, si possible, d'utiliser un driver JDBC et non une passerelle JDBC/ODBC, c'est mal

A+

[meavy]

Salut,

en fait j'ai fait une classe générique que j'ai appelé Connection_Agent et qui permet d'établir la connexion à ma base de donnée MS Access ... voici la classe :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
 
 
/*
 * This class is, as the name indicates it, a class that supports the connection/disconnection to/from
 * a given database.
 * 
 */
 
 
import java.sql.*;
 
import javax.swing.JOptionPane;
 
 
public class Connection_Agent {
 
	public String DBPath; //String that stores the database path
	public Connection connection;
 
 
 
	public Connection_Agent(String DBPath) {
 
		this.DBPath=DBPath;
 
	}
 
 
	/*
	 * This method is used to connect to the database whose path is given in the attribute DBPath 
	 */
 
 
	public boolean connect() {
 
					try {
 
						Class.forName("sun.jdbc.odbc.JdbcOdbcDriver");
 
					} catch (ClassNotFoundException e1) {
 
						JOptionPane.showMessageDialog(null,e1.getMessage());
 
						return false;
 
					}
 
					String connectionstring="jdbc:odbc:Driver={Microsoft Access Driver (*.mdb)};DBQ=" +DBPath;
 
					try {
 
						this.connection=DriverManager.getConnection(connectionstring);
 
					} catch (SQLException e) {
 
						JOptionPane.showMessageDialog(null,e.getMessage());
						return false;
 
					}
 
 
			return true;
 
	}
 
 
	/*
	 * This method is used to close the connection  
	 */
 
	public boolean disconnect(){
 
		try {
 
			this.connection.close();
 
		} catch (SQLException e) {
 
			JOptionPane.showMessageDialog(null,e.getMessage());
			return false;
 
		}
 
		return true;
 
	}
 
 
 
 
}

et donc quand je veux me connecter à une base de données, j'instancie un nouvel objet de cette classe en lui fournissant simplement le chemin de la base de données ...

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
 
 
Connection_Agent maconnection = new Connection_Agent(cheminbase);
 
maconnection.connect(); // methode qui établit la connection et je recupere l'objet java.sql Connection dans le public field connection de mon objet ...

[remika]

normalement on ne met pas de ; à la fin des requêtes en JDBC, mais pas dit que ce soit ça...

[OButterlin]

C'est clair, pas de ";"...
Mais le driver est spécialement peu loquace sur la cause de l'erreur...

Tes champs sont bien de type String ?

[remika]

Mais le driver est spécialement peu loquace sur la cause de l'erreur...

C'est clair...

Sinon essaie déjà de lancer ta requête directement en dehors de Java, on sait jamais

[meavy]

je viens d'essayer sans le point virgule ... lol il veut rien savoir ca marche meme pas ... bon en meme temps quand j'utilisais des statement au lieu de PreParedStatement, ca marchais bien ....

en tout cas ma requete je l'ai vérifié aussi, elle tourne bien ... et puis mes champs oui tous des String ... ssssûr ...

[remika]

Sans le ; il se passe quoi exactement, tu as une erreur ?

Dans tous les cas je te déconseille complètement l'utilisation des Statement simples, ne serait-ce que pour éviter des problèmes de SQL injection.

[meavy]

oui les statement c'est oublié maintenant ...

quand je met pas le ; j'ai une java.lang.NullPointerException ... j'ai fais un test négatif lorsque je veux savoir s'il établit effectivement la connexion sans le ; ...

[remika]

si une de tes String peut être null, essaie de faire un setNull au lieu de setString quand c'est le cas

[meavy]

non plus ... aucun de mes champs n'est null ...

[meavy]

j'ai mis en plus un petit truc pour vraiment eloigner tout doute :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
 
 
if (mavariable!=null) {
 
ppstmt.setString(6,mavariable);
 
}
else {
 
ppstmt.setNull(1, java.sql.Types.VARCHAR);
 
}