Discussion :

[guignol]

Bonjour!

Je travaille en aspx, et à la suite d'une sélection multiple, je veux récupérer toutes les valeurs correspondantes à ma sélection.

Pour cela, j'ai créé une procédure stockée :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
CREATE PROCEDURE [dbo].[ps_sel_CollabCompetences]
@list_id_theme varchar(300)
 AS
select * from sel_CollabCompetences, sel_NbCollabCompetences
where sel_collabCompetences.libelle=sel_NbCollabCompetences.libelle
and id_theme in (@list_id_theme)
GO

@list_id_theme a des valeurs sous cette forme : 1,2,3,4 et id_theme est de type numeric.

A l'exécution j'obtient une erreur : Erreur de conversion du type de données varchar en numeric.
en fait je voudrais que ma variable ne soit pas comparée directement, mais fasse plutot partie de la syntaxe de la requete, comme si on obtenait

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

 and id_theme in (1,2,3,4)

J'espere que vous avez compris mon problème (j'ai un peu de mal à trouver les mots).

merci d'avance

charly

[Fabien Celaia]

Il vous faut passer par du SQL dynamique pour ce genre de construction.

Sinon, vous pouvez renseigner une table avec vos parametres et faire une jointure ensuite.

[guignol]

OK, mais que signifie SQL Dynamique? Cela veut-il dire que je dois construire mon instruction sql puis l'exécuter? et peut-on faire du sql dynamique dans une procédure stockée?

Comment fait-on svp?

Merci d'avance

Charly

[guignol]

Ok c'est bon j'ai trouvé en fouillant un peu. Je crée ma requête en la mettant dans une variable et je l'exécute au sein de ma procédure stockée:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
 
CREATE PROCEDURE [dbo].[ps_sel_CollabCompetences]
@list_id_theme varchar(300)
 AS
declare @sql as nvarchar(600)
select @sql='select * from sel_CollabCompetences, sel_NbCollabCompetences where sel_collabCompetences.libelle=sel_NbCollabCompetences.libelle and id_theme in (' +@list_id_theme +')'
exec sp_executeSQL  @sql
GO

Merci beacoup=>résolu :-D

[akecoocoo]

j'aimerai savoir si ce principe est 'securise'
ne peut on pas remplacer la sequence '4,5,2' par une autre chaine de caracteres qui permetterait d'acceder a d'autres infos sur la base de donnees ?
merci pour votre reponse

[akecoocoo]

bon, apres avoir essaye la methode de guignol, j'ai juge bon de ne pas l'adopter... (problemes de securite evidents..)

je suis tombe sur cette page : http://vyaskn.tripod.com/passing_arrays_to_stored_procedures.htm

qui resume le danger de ta methode guignol, pour ma part j'utilise la methode 2... ca allourdit le code et le temps d'execution, mais je crains moins les erreurs d'execution ainsi..