Discussion :

[GCAccess]

Bonjour,

Je cherche depuis un petit moment à remplacer par la valeur d'un combobox le nom d'un champ dans une requête servant à remplir un datagridview .

Mon code est le suivant:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
conn = New OleDbConnection("Provider=Microsoft.Jet.OLEDB.4.0; Data Source = dbgc.mdb;")
 
        da = New OleDbDataAdapter("SELECT TerminoID, DE, FR, EN, KUID FROM TblTermino Where DE Like '%" & TextBox1.Text & "%' ORDER BY TerminoID ", conn)
 
 
        Dim cb As New OleDbCommandBuilder(da)
        dt = New DataTable("Termino")
        conn.Open()
        da.Fill(dt)
        conn.Close()
        Dim bs As New BindingSource()
        dv = New DataView(dt)
        bs.DataSource = dv
        DataGridView1.DataSource = bs

Je voudrais cependant pouvoir modifier le champ du "Where" à l'aide d'une combobox qui liste tous les champs (DE, EN, FR)
Comment remplacer le nom du champ par la valeur de la combobox?

Merci pour votre aide.

Guillaume

[Pol63]

au lieu de " WHERE EN like " textbox

=> " WHERE " & combobox.selecteditem.tostring & " like ..."

attention à vérifier que le textbox et le combobox sont remplis avec ce qu'il faut

de plus plutot que de la concaténation, il est préférable d'utiliser des dbparameters
parce que si dans ton textbox l'utilisateur met un mot avec une apostrophe ca va planter via une concaténation

[GCAccess]

Merci Pol63 !
Ça marche, effectivement.
Par contre, comme tu le dis, une erreur est levée quand je tape une apostrophe.
C'est quoi exactement les dbparametres ?
Je trouve rien dans la faq...

Merci pour ton aide.

Guillaume

[Pol63]

y a une aide avec vb.net ... (touche F1, comme la plupart des autres logiciels du monde windows)

http://msdn.microsoft.com/fr-fr/libr...8VS.80%29.aspx

[GCAccess]

OK, c'est vrai, je vais essayer de voir ça comme un grand

Merci pour ton aide.

[Webman]

Bonjour,

Une petite remarque en passant, concaténer des requêtes SQL à la volée comme ca est le meilleur moyen de s'exposer aux attaques par SQL Injection, peut être ton appli ne le justifie pas; mais sache que cette façon de procéder est risquée. Pour t'en convaincre je te recommande cette petite vidéo de Pascal Belaud de MS France: http://www.microsoft.com/france/visi...6-e9852f0f828a

Cordialement,
Ronald

[GCAccess]

Bonjour Webman,

Merci pour cette info. C'est impressionnant ce qu'on peut arriver à faire quand on s'y connaît un peu ... et les autres pas trop

Pour ma part, le risque est peu élevé, mon application ne me sert qu'à moi et n'est pas destinée à être mise en ligne.
Par contre, j'ai suivi le conseil de Pol63 (dbparameters) et ça fonctionne bien maintenant avec l'apostrophe.

Juste comme ça pour savoir : le fait d'utiliser les dbparameters suffit-il à réduire le risque dont il est question dans la vidéo ?

Merci encore et bonne journée

Guillaume

[Pol63]

Juste comme ça pour savoir : le fait d'utiliser les dbparameters suffit-il à réduire le risque dont il est question dans la vidéo ?

oui

c'est pratique pour les dates aussi, tu mets une variable date dans le parameter et ca s'occupe de trouver le format qu'il faut dans la base
parce qu'en passant une date en tant que string dans une base de données, il arrive parfois que ca inverse jour et mois ...

après moi pour les nombres qui ne viennent pas de textbox, je concatène ...