Discussion :

[faulk]

Bonjour,
j'ai un programme qui me génère en auto un requete sql de ce type:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

SELECT * FROM R2 where madate = '01/01/2018'

dans mon programme l'unique possibilité que j'ai est de modifier la valeur de la date pour metter par exemple 10/10/2018
la requete générée est donc

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

SELECT * FROM R2 where madate = '10/10/2018'

Ce que je veux c'est avoir la date du jour, j'ai donc saisi comme valeur getdate().
Le problème c'est que la requête générée devient

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

SELECT * FROM R2 where madate = 'getdate()'

cela ne fonctionne pas a cause de ces foutus apostrophes

Comment je peux m'en sortir pour générée une requete qui fonctionne sachant que je ne peux jouer que sur la valeur du champs date , j'ai essayé de mettre 'getdate()' , la requete devient

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

SELECT * FROM R2 where madate = ''getdate()''

mais cela ne fonctionne pas non plus...

Une idée ?

[faulk]

parfois il suffit d'expliquer notre problmem pour trouver sa solution, je viens de réussir en renseignant dans mon champs texte : ' + getdate() + '
ma requete devient alors SELECT * FROM R2 where madate = '' + getdate() + '' , et c'est correct!!

[aieeeuuuuu]

bravo, vous avez hacké votre propre SI, par une belle injection SQL

Ce programme est dangereux, et j’espère que son accès est très limité...

Je vous laisse imaginer (imaginer seulement, pas exécuter !) ce que cela pourrait donner si à la place de ' + getdate() + ' quelqu'un saisissait '; DROP TABLE R2;--... ou pire !

[FMJ]

Cela ne va pas répondre à la question mais comme a écrit aieeeuuuuu, cette façon de procéder est strictement à proscrire du fait des risques qu'elle entraîne.
A minima, il faut que le programme ait uniquement accès à des objets de type vues, procédures stockées, sans possibilité de faire des requêtes SQL directes sur la base.
Et idéalement, il faut un découplage protocolaire : le programme attaque un service API (appel de fonctions propre à l'environnement de dev) qui relaie les appels en procédures stockées vers le serveur SGBD. Le programme ne voit donc plus du tout la base de données.
C'est effectivement plus lourd, mais de cette façon, il n'est plus possible de faire d'injection SQL.
Cela permet également de scinder en 3 le dev : une partie pour le programme, une partie pour l'API et une dernier pour le SGBD.

Une discussion récente qui cause du sujet !
https://www.developpez.net/forums/d1...developpement/