Discussion :

[meavy]

bonjour,

j'ai un petit souci en fait j'ai un programme qui enregistre dans une petite base de données des infos et ces infos peuvent être des requêtes SQL... et qui dit requêtes SQL dit une multitude de caractères qui peuvent très facilement me fausser ma requete qui enregistre ces infos dans ma base ... doit-je passer par des expressions regulieres ou y a-t-i dautres moyens ?


merci d'avance pour vos réponses ...

[Alkhan]

bonjour,

Normalement, si tu enregistres des 'requêtes' en base tu ne dois pas avoir de problème car cela doit se trouver entre des cotes.

Pourrais tu mettre un exemple de code, tu as peut être un autre problème !!

[meavy]

en fait j'ai concu comme une sorte de formulaire dans lequel j'ai un JTextPane dans lequel l'utilisateur saisi sa requete.

dans mon programme ( bon je vais pas mettre le code de connection, de requete etc ca ca marche deja ... ) j'ai fait une requete qui stocke dans ma base ce que l'utilisateur a écrit dans le JTextPane ... je l'ai mise dans un string de la facon suivante

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
 
 
String varinsert;
 
varinsert = "INSERT INTO T_Features (champ1, champ2, champ3, larequete ) VALUES ('valeur1', 'valeur2', 'valeur3', ' ";
 
String larequeteduuser = (String) monjtextpane.getText();
 
varinsert+= larequeteduuser +"');" ;

du coup quanf l'utilisateur sasit sa requete celle ci contient des point virgules des guillemets etc et ca fausse tout ...

[OButterlin]

Il ne devrait y avoir aucun problème en passant par un PreparedStatement.
Par contre, si tu passes par Statement, galère assurée

A+

[meavy]

ah oui je passe en effet avec un Statement ... le preparedStatement d'apres ce que j'ai lu précompile la requete donnée ... je me suis donc posé la question de par exemple si ma requete comprend des guillemets elle risque de me faire foirer ma chaine

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

varinsert

puisque par exemple si j'ai une requete du type

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

Select * From matable Where monnom="meavy"

ca me tue mon

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

varinsert

...

[OButterlin]

Des quotes tu veux dire, parce que SQL n'aime pas les doubles-quotes.
Le preparedStatement ne posera aucun problème, tu n'auras pas besoin de faire de traitement particulier sur les valeurs passées.
Exemple

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
 
PreparedStatement pstmt = connection.prepareStatement("insert into MaTable(colNum1, colString2) values(?, ?)");
pstmt.setInt(1, unEntier);
pstmt.setString(2, uneChaine);
pstmt.executeUpdate();

Si "uneChaine" contient "insert into TOTO values(10, 'un texte a insérer')", tout ira pour le mieux.
En plus, avec le PreparedStatement, tu ne risques pas l'injection SQL, il faut vraiment utiliser cette méthode au maximum dans tes applications