Discussion :

[gadsweb]

Bonjour à tous,

Je suis en cours de réalisation d'une appli assez conséquente. Je débute avec C# et notamment l'utilisation des requêtes sql.
J'ai réalisé la quasi-totalité de l'appli et je viens de me rendre compte en testant que les requêtes d'insertion avec apostrophe génèrent des erreurs.
Le problème c'est que ces chaines de caractères qui contiennent les apostrophes et qui résultent de la saisie dans un formulaire, sont stockées dans des variables et c'est donc ces variables qui sont passées aux différentes requêtes.
Je dois reprendre l'intégralité de mon code pour solutionner ce problème.
Après quelques recherches, s'offrent à moi 2 solutions à priori (si vous en voyez d'autres je suis preneur).
-les requêtes paramétrées (mais cela oblige à rajouter systématiquement les lignes de code d'ajout des paramètres et des valeurs pour chaque requête)
-créer une fonction de remplacement de ces apostrophes par un double (cela oblige à vérifier toutes les saisies et les passer à la fonction de correction)
Avant de débuter cette correction, pourriez-vous me dire quelle est à votre avis, la solution la plus rapide, la plus simple et le plus efficace? (un compromis j'imagine)
Merci d'avance

[egautier18]

Bonjour,

En terme de rapidité et de simplicité je pense que les deux solutions se valent.

Cependant, le mieux est l'utilisation des requêtes paramétrées.
Cela est plus évolutif et te permet une meilleur gestion de tes types de données.

Je pense donc, que tu dois te tourner vers cette méthode.

A+

[PatteDePoule]

+1 Requêtes paramétrées

C'est une bonne pratique, surtout contre les injections SQL.

[gadsweb]

Ok, je vous remercie.
Ca conforte mes pensées mais je voulais des avis avisés.

[StringBuilder]

Requêtes paramétrées sans se poser la moindre question.

Sinon :
- les risques d'injection restent présents (y'a pas que les apostrophes qui peuvent poser problème)
- toutes les requêtes sont envoyées avec des valeurs littérales au SGBD, ce qui l'oblige à recompiler de A à Z chaque requête, même si elle est lancée 2000 fois de suite, alors que les requêtes paramétrées permettent de réutiliser le même plan pour chaque combinaison de valeurs
- saturation de mémoire garantie avec des valeurs litérales, le SGBD gardant en cache le résultat des requêtes, et la moindre différence entre deux requête, même équivalente, va créer autant de caches, là où une requête paramétrée ne conservera du cache que pour chaque tuple de paramètres.

Et niveau code/debug, c'est infiniment plus simple que des requêtes SQL de 2 kilomètres avec des '''' à n'en plus finir et autres textes kilométriques qui viennent polluer le code...

Que dire d'une requête de ce forum où une personne s'amuse à coller des exemples de requêtes SQL pour lesquels elle a besoin d'aide ? Je te souhaite bon courage pour débuger la requête si ça plante avec un "parenthèse droite absente" ou un "chaîne non terminée"