Discussion :

[pommefrite]

Bonjour,
J'invoque votre aide car je suis bloqué sur quelque chose de probablement très simple, mais sur le quel je sèche complètement.

Pour faire simple j'ai des clients qui envoient la valeur de leurs capteurs a un serveur.
Celui ci fait du parssing puis les integre a ca base de données (mysql).
Seul la variable capteur est un string, toutes le autres sont des int.
La premiere ligne ne fonctionne pas, mais celle en commentaire si.
Avez vous une idée de l'origine potentiel du problème ?

mysql_query(connect, "INSERT INTO Test1 VALUES(capteur,Id_patient',valeurs,date,heure,minute,seconde,micro);");
//mysql_query(connect, "INSERT INTO Test1 VALUES('af',268.000000,20150531,17,23, 12, 23,4976424485);");

Je convertis mes string en int de cette manière.
std::istringstream instrx(bufferx);
instrx >> minute;

Merci d'avance de votre aide

[jo_link_noir]

Les chaînes de caractères ne contiennent pas de variable mais des caractères. Il faut convertir les variables en chaîne et concaténer

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
 
std::string query = "INSERT INTO Test1 VALUES('";
query += capteur; // il faudrait utiliser mysql_real_escape_string_quote
query += "', ";
query += std::to_string(valeurs);
//etc
mysql_query(connect, query.cstr());

Ou avec std::istringstream si C++11 n'est pas supporté.

Note: il existe des types pour les dates avec mysql.

[pommefrite]

Si je comprends bien c'est mysql qui convertit les valeurs envoyé dans le type correspondant.

Du coup ça va simplifier mon code car les valeurs sont les résultantes du parsing d'un string.
Je devrais donc directement pouvoir les concaténer pour les envoyer.

Merci, je teste ça dans la soirée.

[pommefrite]

Arf j'ai un nouveau petit problème.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
string query;
query += "INSERT INTO Test1 VALUES('";
query += capteur;
query +=  "','";
query += Id_patient;
query +=  "','";
query += valeurs;
query +=  "');";

Je concatene, demande d'afficher cout << query.cstr(); ou de l'envoyer a la bd mysql_query(connect, query.cstr());
Mais je me retrouve toujours avec ce message d'erreur:
test.cpp:118:15: error: ‘std::string’ has no member named ‘cstr’


Pourtant j'ai bien inclus les librairie
#include <string>
#include <cstring>

Pour parser ma chêne j'utilise la fonction string.append();

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
  if(i<=1){
        capteur.append(Smessage,i,1);
        i++;
        }
 
        if(i>1 && i<=11){
        valeurs.append(Smessage,i,1);
        i++;}
 
        if(i>11 && i<=19){
        date.append(Smessage,i,1);
        i++;
        }

[pommefrite]

Ca marche ! Merci !
J'ai remplacé cstr() par c_str()

Voila le code si jamais ca peut aider d'autre personnes.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
 
string query;
query += "INSERT INTO Test1 VALUES('";
query += capteur;
query +=  "','";
query += Id_patient;
query +=  "','";
query += valeurs;
query +=  "','";
[...]
query +=  "');";
 
mysql_query(connect, query.c_str());

[Bousk]

Attention aux injections SQL.

[prgasp77]

Et c'est signé Bousk'); DROP TABLE users; -- .

[white_tentacle]

Je plussoie à ce qu’a dit Bousk.

C’est pas terrible de proposer une réponse à base de création de la requête par concaténation de chaîne :
- soit (la bonne solution) on passe par des statement préparés
- soit (au pire) on passe par mysql_real_escape_string()

Autant ne jamais prendre de mauvaises habitudes, après c’est plus difficile de s’en défaire.

[pommefrite]

Comment quelqu'un pourrait faire une injection dessus ?
Le parsseur traite un nombre de caractères définie, il serait donc compliquée d'ajouter des instructions, non ?
Quels sont ces statements ?

[bacelar]

Comment quelqu'un pourrait faire une injection dessus ?

Vous concaténez des chaines de caractères dans des variables pour construire une requête SQL.
Les variables sont susceptibles d'avoir des valeurs rentrées par l'utilisateur.
L'utilisateur est malicieux.
La requêtes peut donc devenir tous et surtout n'importe quoi.

Le parsseur traite un nombre de caractères définie,

What ?
Il fait ce qu'on lui demande, encore heureux, même si la demande vient d'un utilisateur malicieux.

il serait donc compliquée d'ajouter des instructions, non ?

Compliquer comme quoi ? A peine plus que de construire une pyramide avec des cubes pour bébés.

Quels sont ces statements ?

http://docs.oracle.com/javase/tutori.../prepared.html