Discussion :

[gloglo]

Salut à tous,

J'ai le code Java suivant qui petrmet de faire un select sur une table qui se trouve dans une base de donnée sous Oracle.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
ResultSet rs1 = st1.executeQuery("SELECT * from TBATCHSCH where session_consigne= \""+ 
             this.getSession()+"\""+ " AND uj= \"" +this.getUproc_job()+"\""+
              " AND retour = \""+this.getCode_erreur()+"\"");

Ce code pause pb et me sort une erreur Oracle ORA-00904, en fait il n'accepte pas les guillemets que je met. En fait il faut faire en oracle plutot retour = 'blabla' et retour = "blabla" comme je fais la. le pb cest que lorsque je remplace les " par les ' c'est java qui n'est plus content et qui commence à raler.
Quelqu'un pourra me donner la syntaxe exacte de cette ligne de code de façon à satisfaire à nos deux amis Java et Oracle.

Merci

[fnobb]

et ca ?
ca devrait convenir à Oracle et Java

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
ResultSet rs1 = st1.executeQuery("SELECT * from TBATCHSCH where session_consigne= '"+ 
             this.getSession()+"'"+ " AND uj= '" +this.getUproc_job()+"'"+
              " AND retour = '"+this.getCode_erreur()+"'");

[gloglo]

ceci marche bien

[thibaut]

Merci d'utiliser les PreparedStatement ...

[gloglo]

pourquoi c'est quoi la difference entre les deux

[pedroleouf]

Un PreparedStaement te permet d'échaper les caractères proprement:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
 
stmt = conn.preparedStatement("SELECT * FROM UTILISTEUR WHERE SESSIONID = ? AND ID = ?");
stmt.setString(1, "blabal-avec 'et &");
stmt.setInt(2, 45);
ResultSet rs = stmt.execute...

Le driver va automatiquement remplacer les ? par la représentation SQL de chaque paramètre passé par stmt.setXXX.

Ce qui évitera les SQL inject. Immagine:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
stmt.executeQuery("delete from utilisateur where login = '" + login + "'");

Si le client qui utilise ton formulaire par exemple (si c'est une application web), et a saisi: >>' or 1 = 1 --<< dans ton champ, ta requête deviendra:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
delete from utilisateur where login = '' or 1 = 1 --'

et là, aurevoir la table utilisateur

Regarde la FAQ de JDBC pour t'informer sur comment fonctionnent les PreparedStatement

@+