Discussion :

[tscrosh]

Bonjour
Je suppose que ceci est une demande courante, mais je ne trouve pas mon bonheur dans mes recherches.
En fait j'ai un champ RTF appelé ici champ_rtf (System.Windows.Forms.RichTextBox()) que j'aimerai insérer dans un champ d'une table sur une base SQL

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
 
DIM mon_rtf as string
mon_rtf = champ_rtf.rtf

Le code en lui même fonctionne jusqu'au moment où dans le code RTF j'ai une quote, exemple j'ai un ä dans le texte qui est transformé en \u228\'e4 donc un simple

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

INSERT INTO TABLE_RTF(RTFVAL) VALUES('" & mon_rtf &"');

m'envoie dans les roses car le code SQL est faux

J'ai lu des tas de choses comme sauver le contenu rtf en fichier le recharger puis insérer ... plein de manipulations que je pense inutiles, il doit bien y avoir un autre moyen.

Merci pour toute aide / info

[joKED]

Bonjour,

Règle numéro 1 : On ne fait pas de concaténation de chaine pour un INSERT en SQL.
Règle numéro 2 : On ne fait pas de concaténation de chaine pour un INSERT en SQL.

Pourquoi ? Car il y a un risque d'injection SQL. Et c'est moche.

L'idée, pour éviter ton problème, c'est de passer le contenu en paramètre. Potentiellement avec une procédure stockée (recommandé), ou avec une requête paramétrée.
Tout ceci est bien documenté et facile à mettre en oeuvre.