Discussion :

[bouchra19]

Bonjour tout le monde

J'ai une page asp.net (vb.net) dans laquelle je veux afficher le résultat d'une requête sql qui permet d'afficher le nombre d'articles produits par un employé dans un mois donné. Le numéro de l'employé dois être saisi dans un TextBox, le mois dans une DropDownList et aussi l'année dans une DropDownList.

voilà le code du bouton

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
Protected Sub Button1_Click(ByVal sender As Object, ByVal e As EventArgs) Handles Button1.Click
        req = "select sum(NombreA) from Production P where NumE='" & TextBox1.Text & "' AND (DateP between ''" & (DropDownList1.SelectedValue()) & "'/01/'" & (DropDownList2.SelectedValue()) & "'' and ''" & (DropDownList1.SelectedValue()) & "'/30/'" & (DropDownList2.SelectedValue()) & "'')"
        cmd = New SqlCommand(req, con)
        con.Open()
        TextBox3.Text = cmd.ExecuteScalar
        con.Close()
    End Sub

J'ai testé la requête dans sql server en donnant des exemples pour les valeurs des champs recherchés et cela a fonctionné très bien


Mais que je l'éxecute dans le navigateur on me donne cette erreur:

Incorrect syntax near '6'.

(le 6 c'est la valeur du mois que j'ai sélectionné dans le DropDownList)


Qui a une idée svp?

[meziantou]

Utilise des requêtes paramétrées.

[sou_rif]

Bonjour,

Premier conseil :

évite le maximum possible la concaténation pour construire une requête SQL et l’exécuter directement, et assure toi de la bonne syntaxe générée avant de l’exécuter !!!

Pour faire simple, je te propose juste de récupérer la requête générée (req ), soit l'afficher quelque part soit l'exécuter directement sur SQL Serveur : et c'est pour vérifier la sytaxe !

[bouchra19]

Bonjour

Merci pour vos réponses

Apparemment vous m'avez pas bien compris

Mais j'ai résolu le problème en remplaçant la requête précédente par celle-ci:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

req = "select sum(NombreA) from Production P where NumE='" & TextBox1.Text & "' AND month(DateP)='" & DropDownList1.SelectedValue & "' AND year(DateP) = '" & DropDownList2.SelectedValue & "'"

[meziantou]

Les informations que tu passes à la requetes viennent de l'utilisateur.
Que se passe-t-il si TextBox1.Text vaut "toto ' ; drop table Production --" (sans les doubles quote)
Les injections SQL c'est la base. Les requêtes paramétrées permettent de les éviter.

[bouchra19]

J'ai bien saisi la notion des requêtes paramétrées et ils me semblent très utiles

Mais ils n'ont pas résolu mon problème. moi je voulais juste que la requête marche, la sécurité vient après

En tout cas, j'ai la chance que vous m'avez découvert ce truck, merci infiniment