Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
type date attendu mais number trouvé
j'essai de utiliser 2 dates dans une requete mais ça passe pas soit le morceau de la requete:
Code : Sélectionner tout - Visualiser dans une fenêtre à part
2
3
4
5resultat.SQL.Add('where '+table+'.code_tpd = temps.code_tpd' ); ShowMessage('and jour between '+ datetostr(d1.Date)+' and '+ datetostr(d2.Date)); resultat.SQL.Add('and jour between '+datetostr(d1.Date)+' and '+ datetostr(d2.Date)); resultat.SQL.Add('group by ');
Bonjour, il manque des quotes dans ta chaine !
L'analyseur syntaxique SQL va voir :
alors que, pour que ce soit correct, il devrait lire
Code : Sélectionner tout - Visualiser dans une fenêtre à part and jour between 01/10/2011 and 31/10/2011
Tu aurais du écrire
Code : Sélectionner tout - Visualiser dans une fenêtre à part and jour between '01/10/2011' and '31/10/2011'
L'idéal étant bien entendu de passer par des paramètres qui évitent tout risque d'injection SQL...
Code : Sélectionner tout - Visualiser dans une fenêtre à part resultat.SQL.Add('and jour between ' + QuotedStr(DateToStr(d1.Date)) + ' and ' + QuotedStr(DateToStr(d2.Date)));
--
Philippe.
Philippe.
de plus le format jj/mm/aaaa n'est pas toujours celui du SGBD
pour Interbase ou firebird par exemple c'est mm/jj/aaaa ou jj.mm.aaaa
Envoyé par phillipe
MVP Embarcadero
Delphi installés : D3,D7,D2010,XE4,XE7,D10 (Rio, Sidney), D11 (Alexandria), D12 (Athènes)
SGBD : Firebird 2.5, 3, SQLite
générateurs États : FastReport, Rave, QuickReport
OS : Window Vista, Windows 10, Windows 11, Ubuntu, Androïd
+1
L'idéal étant bien entendu de passer par des paramètres qui évitent tout risque d'injection SQL...
PAS DE DESTIN, C'EST CE QUE NOUS FAISONS
Donnez nous plus de détails: SGBD utilisé et structure des tables.
excusez les gars, en fait je pensez avoir mis resolu, ce que Ph.B a expliqué a resolus. j'utilise oracle, alors..... il gere les dates avec une certaine souplesse.
pour ce qui est de injection sql, etant donné que mes tables ne sont connu à l'avance, je ne peux faire que de cete maniere, ou bien y a til une solution?
merci.
Pour éviter les injections tu dois apprendre à utiliser les requêtes paramétrées:
Pour ton example:
Code : Sélectionner tout - Visualiser dans une fenêtre à part
2
3
4
5
Vous avez un bloqueur de publicités installé.
Le Club Developpez.com n'affiche que des publicités IT, discrètes et non intrusives.
Afin que nous puissions continuer à vous fournir gratuitement du contenu de qualité, merci de nous soutenir en désactivant votre bloqueur de publicités sur Developpez.com.
Répondre avec citation
Partager