Discussion :

[Coicatak]

Bonjour, j'utilise SQL Server Compact edition.

A un momment j'utilise une insctuction insert into et pour la colonne "Commentaire" de ma table "operation", l'utilisateur rentre une chaine de caractère personnalisée dans un control RichTexBox, pouvant contenir des caractères spéciaux (comme des guillemets ou des quotes), ce qui pose problème. Il y a t'il un équivalent de la fonction mysql_real_escape_string() utilisée en PHP ou encore une méthode plus simple?

Voici la ligne de code concerné:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

cmd.CommandText = "INSERT INTO operation VALUES (5, '"+dtpDate.Value.ToShortDateString()+"', '"+txtTitre.Text+"', '"+rtbCommentaire.Text+"', "+montant+", "+(cbCompte.SelectedIndex+1)+")";

Merci d'avance:!

[Graffito]

Le plus propre est d'utiliser des commandes SQL paramétrées:
http://webman.developpez.com/article...ter/csharp/#L3

Cela s'applique à tous types de SGBD avec de petites variantes.

[alex_vino]

Tu peux utiliser Replace()

[Bluedeep]

Tu peux utiliser Replace()

Tu peux aussi éviter les conseils fumeux.

[morgand]

Heu oui les objets de paramétrages et d'exécution de requêtes seront bien mieux et beaucoup sécurisé !!!
PS : Ne fait pas de + pour créer ta chaine de caractère mais des String.Format ou mieux StringBuilder

[alex_vino]

Tu peux aussi éviter les conseils fumeux.

Pourquoi fumeux ?!?

Il voulais quelque chose de simple...
Et cela pose moins de probleme en cas de changement de la couche d'acces aux donnees (XML par exemple).