Discussion :

[codefree]

Bonjour

je suis sur visual studio 2013 pour le poste client avec un windows 8.1 et pour le serveur linux avec base de données mysql avec phpmyadmin.
Et je suis toujours un débutant.

j'ai un problème dans mon projets j'ai une textbox multilignes que j'utilise pour des commentaires.

Quand j’écris un texte par exemple je mappelle fred tous va bien ça enregistre bien dans la base de données mais si je rajoute un apostrophe je m'appelle fred il me donne ce message d'erreur



Bref la base de données ne sait pas interpréter nos apostrophe la ligne et en type text et interclassement en utf8_general_ci.

En vous remerciant pour vos solutions

[PixelJuice]

Bonjour,

c'est normal un ' coupe ta requête en deux. Tu as deux solutions , la rapide et la bonne :

La rapide:

Faire un Replace() sur la valeur de ta TextBox quand tu la recupères, du genre

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
string commentaire = textBox.Replace("'","''");
//ou
string commentaire = textBox.Replace("'","/'");

La bonne :

Utiliser des requêtes paramétrées. Tu devras surement revoir un peu ton code mais c'est le meilleur moyen de s'assurer que tout va bien et d'éviter les problèmes.

Petit exemple

Règle n°1 en SQL : Toujours se méfier de ce que l'utilisateur peut rentrer comme valeur.

[StringBuilder]

Les séquences d'échappement sont à éviter : le standard SQL prévoit '' (deux quotes) pour échapper une quote, mais MySQL ainsi qu'Oracle supportent aussi \\' (antislash quote). Je découvre /' (slash quote).

Le problème, c'est qu'on peut rapidement préférer une notation non standard SQL (\\' ou /'), la jugeant plus rapide, et plus standard (échappement ANSI).

Et ça va très bien marcher jusqu'au jour où :
- l'application va être migrée pour un autre SGBD qui ne supporte que l'échappement standard, ou même un autre (pourquoi pas @#@ ?)
- MySQL va se décider à suivre les standard, et abandonnée les séquences d'échappement ANSI-like.
- un petit malin va combiner des '', /' et autres \\' dans la chaîne de caractère, obligeant MySQL à foirer lamentablement le décodage de la séquence d'échappement

Enfin, pour des raisons de performances évidentes (pooling, plan d'exécution, etc.) il n'y a aucune alternative possible au requête paramétrées.

[codefree]

Bonjour

Merci pour l'astuce cela fonctionne très bien.
voici le code que j’emploie pour ceux que ça intéresse

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

 Nom = '" + this.textBox2.Text.Replace("'", "''") + "',Prenom = '" + this.textBox3.Text.Replace("'", "''") + "';";

a bietot

[StringBuilder]

Code qui est donc l'exemple de ce qu'il ne faut absolument pas faire.