Discussion :

[julien_33]

Bonjour,

Je rencontre un problème avec mes données stockées avec SQL Server. Lorsque je récupère mes données dans la base de données, il y a des espaces apparus dans mes champs. exemple : démo réelle
au lieu de :démo réelle.

Est ce que mon problème peut venir de mon type de champs dans la base (nchar 15) ou bien de ma requète SQL d'insertion :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 req = " insert into T_UTILISATEUR (Login, Password, Nom, Prenom)" _
            & "values ( '" & TxtLogin.Text & "' , '" & TxtMdp.Text & "' , '" & TxtNom.Text & "' , '" & TxtPrenom.Text & "' )"

Merci d'avance pour votre aide.

[tomlev]

Est ce que mon problème peut venir de mon type de champs dans la base (nchar 15)

A priori c'est pour ça, oui. Le type nchar est de longueur fixe, les valeurs plus courtes sont complétées avec des espaces il me semble... Utilise nvarchar à la place.

ou bien de ma requète SQL d'insertion :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 req = " insert into T_UTILISATEUR (Login, Password, Nom, Prenom)" _
            & "values ( '" & TxtLogin.Text & "' , '" & TxtMdp.Text & "' , '" & TxtNom.Text & "' , '" & TxtPrenom.Text & "' )"

A priori ça ne vient pas de là, mais il faut absolument que tu changes ça... essaie de créer un utlisateur qui s'appelle "O'Hara" par exemple, et tu comprendras pourquoi. Là encore ce serait pas trop grave (juste une erreur sans conséquence), mais si l'utilisateur a la bonne idée de se prénommer Robert'); DROP TABLE T_UTILISATEUR; --, tu vas commencer à avoir de sérieux problèmes

Pour éviter les problèmes d'injection SQL, utilise des requêtes paramétrées. c'est un peu plus long à écrire, mais c'est pas compliqué et c'est infiniment plus sûr. Sans compter que ça t'épargne aussi les problèmes avec les nombres et les dates, dont le format dépend de la culture courante...

[julien_33]

Bonsoir Tomlev,

Merci pour ta réponse, je vais essayé ça et te tiens au courant.

Peux tu m'en dire plus sur les requêtes paramétrées s'il te plait. Je ne connais pas.

Encore merci.

[tomlev]

Peux tu m'en dire plus sur les requêtes paramétrées s'il te plait. Je ne connais pas.

Bah je t'ai indiqué un tuto, qu'est-ce qu'il te faut de plus ? (le tuto est en C#, mais c'est pareil en VB)

C'est des requêtes où au lieu de mettre les valeurs directement dans la requête, tu mets à la place des paramètres, et tu fournis les valeurs séparément :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
req = " insert into T_UTILISATEUR (Login, Password, Nom, Prenom)" _
            & "values (@Login, @Password, @Nom, @Prenom)"
Using command As New SqlCommand(req, connection)
    command.Parameters.Add("@Login", SqlDbType.NVarChar).Value = TxtLogin.Text
    command.Parameters.Add("@Password", SqlDbType.NVarChar).Value = TxtPassword.Text
    command.Parameters.Add("@Nom", SqlDbType.NVarChar).Value = TxtNom.Text
    command.Parameters.Add("@Prenom", SqlDbType.NVarChar).Value = TxtPrenom.Text
    command.ExecuteNonQuery()
End Using

Soit dit en passant, normalement on enregistre pas des mots de passe en clair dans la DB, on enregistre juste un hash du mot de passe.

[julien_33]

Tout d'abord, je te présente mes excuses, je n'avais pas vu le lien dans ta réponse pour les requètes paramétrées et merci pour ton exemple.

J'ai également fait quelques recherches sur les hash de mot de passe mais je n'ai rien trouvé d'explicite sur la manière de créer un hash de mot de passe ni comment l'utiliser après.

Merci d'avance pour ton aide.

PS : C'est bien le type de champs dans la base qui est la source de mes espaces non souhaités.

[tomlev]

J'ai également fait quelques recherches sur les hash de mot de passe mais je n'ai rien trouvé d'explicite sur la manière de créer un hash de mot de passe ni comment l'utiliser après.

Tu calcules le hash (MD5 ou SHA1 par exemple), avec une méthode dans ce style :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
Imports System.IO
Imports System.Security.Cryptography
 
...
 
Public Shared Function ComputePasswordHash(ByVal password As String) As String 
        Dim bytes As Byte() = Encoding.UTF8.GetBytes(password)
        Dim algo As SHA1 = SHA1.Create()
        Dim hashBytes As Byte() = algo.ComputeHash(bytes)
        Dim hash As String = BitConverter.ToString(hashBytes).Replace("-", "").ToLower()
        Return hash
End Function

Ca te donne une chaine hexadécimale, que tu stockes dans la DB à la place du password.

Ensuite, quand tu veux vérifier si le mot de passe saisi est correct, tu prends son hash et tu compares à celui qui est stocké dans la DB. C'est plus sûr, parce que si quelqu'un arrive à s'introduire dans la DB et à voler les données, il n'a pas les passwords mais seulement les hash... et il n'y a pas de moyen simple de retrouver le mot de passe à l'origine du hash (de ce point de vue là, MD5 n'est pas très sûr, un moyen assez rapide de le "casser" à été trouvé il n'y a pas très longtemps ; il vaut mieux utiliser SHA1, SHA256 ou autre)