Discussion :

[exyacc]

bonjour,

j'ai une petit problème sur un remplacement de paramètre dans une requête
la fonction suivante fonctionne:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
 
With Tadoquery.Create(nil) do
  begin
    ConnectionString := Connection_string;
    SQL.text := 'UPDATE clients '+
                      'SET [warning message]=[warning message] + ''toto'' +
                      'WHERE idnumber = :clientid';
    try
      Parameters.ParamByName('clientid').DataType := ftInteger;
      Parameters.ParamByName('clientid').value := clientid;
      ExecSQL;
    except on E:Exception do
        showmessage(E.Message);
    end;

par contre la fonction suivante en mettant 'toto' en paramètre, il arrive pas a remplacer ce paramètre (je crois que j'avais déjà eu ce problème quand le paramètre était pas dans le where ...)
j'ai besoin de passer par un paramètre car parfois j'ai une cote ' dans le message et du coup, la requête plante ...

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
 
With Tadoquery.Create(nil) do
  begin
    ConnectionString := Connection_string;
    SQL.text := 'UPDATE clients '+
                      'SET [warning message]=[warning message] + '':mon_texte'' +
                      ' WHERE idnumber = :clientid';
    try
      Parameters.ParamByName('clientid').DataType := ftInteger;
      Parameters.ParamByName('clientid').value := clientid;
      Parameters.ParamByName('mon_texte').DataType := ftstring;
      Parameters.ParamByName('mon_texte').value := 'toto';
      ExecSQL;
    except on E:Exception do
        showmessage(E.Message);
    end;

comment feriez vous ??
merci

greg

[popo]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
'UPDATE clients '+
    'SET [warning message]=[warning message] +:mon_texte' +
    ' WHERE idnumber = :clientid';

[exyacc]

merci de ta rapide réponse.

en fait la requête est beaucoup plus longue donc je l'ai simplifié pour voir ou je merdouille donc avec:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
  SQL.text := 'UPDATE clients '+
                'SET [warning message]=[warning message]+'+
               ':mon_texte'+
                'WHERE  idnumber = 222';

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
  SQL.text := 'UPDATE clients '+
                'SET [warning message]=[warning message]+'+
                ':mon_texte+''  {\PTS}'' '+
                'WHERE  idnumber = 222';

la première requête marche, pas la seconde si j'ajoute {\PTS} a mon texte...
par contre si je mets le ' {\PTS} ' dans le paramètre, Parameters.ParamByName('mon_texte').value := 'toto'+'{\PTS}' ; ça marche

j'ai fait un showmessage de sql.text pour voir si j'avais pas une ' en trop
j'ai:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
UPDATE clients SET [warning message]=[warning message]+:mon_texte+'  {\PTS}' WHERE  idnumber = 222

j’exécute la requête en replaçant :mon_texte par 'mon_texte' , la requête fonctionne bien dans un requeteur...

[SergioMaster]

Bonjour,

je n'aime pas trop ADO, mais le \P ne serait-il pas traité comme un caractère d'échappement dans la préparation de la requête par ADO ?
Que se passe-t'il avec

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
SQL.text := 'UPDATE clients '+
                'SET [warning message]=[warning message]+'+
                ':mon_texte+''  {PTS}'' '+
                'WHERE  idnumber = 222';

cette première formulation indiquerait bien qu'il s'agit d'un problème de caractère d'échappement
ou avec

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
SQL.text := 'UPDATE clients '+
                'SET [warning message]=[warning message]+'+
                ':mon_texte+''  {\\PTS}'' '+
                'WHERE  idnumber = 222';

celle formulation devrait le contourner

[exyacc]

je viens d'essayer avec juste PTS au lieu {\PTS} , ça marche pas...
comme si le paramètre devait être en dernière position...bizarre

j'ai voulu tester FireDAC mais avec mon delphi berlin professional, y'a pas l'air d'y avoir les drivers pour mssql..

[SergioMaster]

Mais la concaténation en SQL ce n'est pas + c'est || je n'y avais pas fait attention !

Code SQL :

Sélectionner tout - Visualiser dans une fenêtre à part

UPDATE clients SET [warning message]=[warning message]||:montexte||' {\PTS}' WHERE idnumber = 222';

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

SQL.Text:='Update clients set [warning message]=[warning message]||:montexte||'+Quotedstr(' {\PTS}')+'WHERE idnumber=222';

[popo]

Question bête mais pourquoi vouloir absolument mettre ce '{\PTS}' dans la requête alors qu'apparemment tu cherches simplement à l'ajouter derrière le paramètre.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

Parameters.ParamByName('mon_texte').value := 'toto {\PTS}';

[exyacc]

Question bête mais pourquoi vouloir absolument mettre ce '{\PTS}' dans la requête alors qu'apparemment tu cherches simplement à l'ajouter derrière le paramètre.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

Parameters.ParamByName('mon_texte').value := 'toto {\PTS}';

désolé, j'étais en vacances

en fait , dans la table, il y a un champ mémo ou les gens tapent se qu'ils veulent et moi je veux ajouter une info que j'entoure de balises, par exemple '{PTS} toto a eu 10 points {\PTS}' , pour pouvoir effacer ultérieurement uniquement mes ajouts

[SergioMaster]

Bonjour,

ça peut friser l'injection de SQL ce truc ! Il y a vraiment intérêt à passer par les paramètres

[oneDev]

Mais la concaténation en SQL ce n'est pas + c'est || je n'y avais pas fait attention !

Cela dépends des bases de données. Avec SQL Server, par exemple, c'est bien un +.

[SergioMaster]

Et moi qui croyait MS SQL ANSI compliant
cela dit il y a aussi la fonction CONCAT

Code SQL :

Sélectionner tout - Visualiser dans une fenêtre à part

UPDATE clients SET [warning message]=CONCAT([warning message],:montexte,' {\PTS}') WHERE idnumber = 222';

[oneDev]

cela dit il y a aussi la fonction CONCAT

Elle n'est dispo qu'à partir de SQL Server 2012.
J'ai encore des clients en 2008...