Discussion :

[DEMBELE10]

com.mysql.jdbc.exceptions.jdbc4.MySQLSyntaxErrorException: Erreur de syntaxe près de ''username ='tantie'and password='kadiatou'' à la ligne 1
Exception in thread "AWT-EventQueue-0" java.lang.NullPointerException
at base_de_donnees.Login.jButton1ActionPerformed(Login.java:124)

[Iloyd]

com.mysql.jdbc.exceptions.jdbc4.MySQLSyntaxErrorException: Erreur de syntaxe près de ''username ='tantie'and password='kadiatou'' à la ligne 1
Exception in thread "AWT-EventQueue-0" java.lang.NullPointerException
at base_de_donnees.Login.jButton1ActionPerformed(Login.java:124)

Bonjour,

Au doigt mouillé, je dirais qu'il manque un quote à la fin de ta requête.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

username ='tantie'and password='kadiatou'

[joel.drigo]

Passer par un PreparedStatement évite ce genre de souci de quote, et prévient contre les injections SQL...

[DEMBELE10]

Bonjour,

Au doigt mouillé, je dirais qu'il manque un quote à la fin de ta requête.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

username ='tantie'and password='kadiatou'

[DEMBELE10]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

rs = db.querySelectAll("utilisateur", "'username ='" + txt_username.getText()+ "'and password='" + txt_password.getText()+ "'");

[joel.drigo]

Bah, c'est quoi ce db ? Une variable qui pointe sur un objet de classe à toi ? Qui manifestement n'utilise pas de PreparedStatement (ou alors il y a un parser SQL derrière...). Avec un tel code en plus si on tape une quote dans le champ de saisie, ça plante. Et si quelqu'un introduit une requête SQL (avec quelques quotes bien placées...) dans le champ de saisie, il va pouvoir faire des choses qu'on ne veut pas qu'il fasse...

[Iloyd]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

rs = db.querySelectAll("utilisateur", "'username ='" + txt_username.getText()+ "'and password='" + txt_password.getText()+ "'");

Passer par un .querySelectAll pour une requête comme ça me semble inutile. Tu peux reprendre la forme d'une requête SQL préparée ou bien par concaténation (comme tu l'as fait (à peu près) ci - dessus).


requête préparée :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
 
 
String sql = "select nomUtilisateur, mdpUtilisateur from dbo.p_utilisateur where nomUtilisateur=? and mdpUtilisateur=?"; //requête préparée pour le login
        try{
            cnx = DBConnexion.ConnectDB(); //connexion bdd
            prepared = cnx.prepareStatement(sql); //instruction paramétrée avec une reuqête SQL déjà compilée
            prepared.setString(1,unUtilisateur.getLogin()); //définit le paramètre selon le string donné 
            prepared.setString(2,unUtilisateur.getMdp()); //définit le paramètre selon le string donné 
 
            resultat = prepared.executeQuery(); //exécute la requête
 
            .....
        }catch(SQLException e){e.printStackTrace();}

requête par concaténation :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
 
String sql = "select nomUtilisateur, mdpUtilisateur from dbo.p_utilisateur where nomUtilisateur='"+txtLogin.getText()+"' and mdpUtilisateur='"+txtMdp.getText()+"'"; //requête préparée pour le login
        try{
            cnx = DBConnexion.ConnectDB(); //connexion bdd
            prepared = cnx.prepareStatement(sql); //instruction paramétrée avec une reuqête SQL déjà compilée
 
            resultat = prepared.executeQuery(); //exécute la requête
 
            .......
        }catch(SQLException e){e.printStackTrace();}

[DEMBELE10]

Je sais comment faire avec prepareStatement je voulais aussi apprendre à le faire autrement c'est pourquoi j'ai codé de la sorte , quand j’exécute on me parle d'erreur de syntaxe près de: Erreur de syntaxe près de ''username =''and password=''' à la ligne 1

[joel.drigo]

1. Si tu sais le faire avec des PreparedStatement, ça suffit. Il y a d'autres moyens de le faire, mais pas les Statements, soit par concaténation, parce que comme je l'ai déjà dit,
   
   1. gérer les quotes est une plaie (et ça peut être spécifique au SGBD en plus)
   2. que ça permet les injections SQL
2. Quand tu as une erreur, le mieux est de préciser si c'est
   
   • une erreur de compilation et d'indiquer le message exacte, et le code concerné à minima (la ligne en particulier)
   • ou d'exécution, et d'indiquer le message, la stacktrace, et le code concerné à minima (la ligne en particulier), et l'environnement d'exécution (variables, paramètres, etc).
   
   Sans quoi on n'est réduit à faire des suppositions et des interprétations. ''username =''and password=''' en Java comme en SQL, est incorrecte syntaxiquement parlant.
   En SQL, l'expression serait select id from table where username = 'name' and password = 'pass'. Pour produire cette chaîne à partir de valeurs qui seraient saisies dans des champs, par concaténation, il faudrait faire :
   

   Code JAVA :

   Sélectionner tout - Visualiser dans une fenêtre à part

   String sql = "select id from table where username = '" + escape(namefield.getText()) + "' and password = '" + escape(password.getText()) +"'"

   ou escape serait une méthode que tu programmes toi-même (on pourrait empêcher de saisir des quotes dans les champs aussi).
   Note bien déjà la difficulté de distinguer les ' et les " dans ce genre d'expression et qui peut conduire à des erreurs. En tout, " n'est pas '', ni "' ni '" n'est ''', etc. Ensuite il faut écrire le code de la méthode escape pour que les quotes saisies dans le champ n'interfèrent pas avec la syntaxe SQL, n'empêchent pas le SQL de fonctionner conformément à ce qu'on veut.
   Avec les PreparedStatement, pas de question à se poser, pas de fonction escape() à écrire, ça marche tout seul et sans risque. Maintenant, le source du PreparedStatement doit être disponible et en mode debug tu pourras découvrir comment c'est fait une interne si ça t'intéresse vraiment.

[DEMBELE10]

Merci beaucoup pour votre aide ,j'essaye ça et je vous ferai un retour !