Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
Comment 'escape' tous les caractères sensibles d'un string?
Bonjour à tous,
Mon appli manipule des strings qui sont stockés dans une base de donnée.
Seulement ces strings peuvent contenir du html ou autres caractères spéciaux (notamment quote ' ).
Je voudrai savoir comment 'sécuriser' l'ensemble des caractères contenus dans un string et qui pourraient être sensibles.
Merci
Qu'est ce que tu appelles "sécuriser" ?
Besoin d'un MessageBox amélioré ? InformationBox pour .NET 1.1, 2.0, 3.0, 3.5, 4.0 sous license Apache 2.0.
Bonnes pratiques pour les accès aux données
Mon profil LinkedIn - MCT - MCPD WinForms - MCTS Applications Distribuées - MCTS WCF - MCTS WCF 4.0 - MCTS SQL Server 2008, Database Development - Mon blog - Twitter
le plus simple je dirai par exemple, transformer tous les ' en \' .
ça pourrait bien être aussi un procédé tel que urlencode en php.
Split?
euh... je vois pas trop là.
j'ai un string disons celui là:
mon_string = "<balise id='truc' class='machin'>ah la la</balise>";
Il ne peut pas etre inséré dans la base de donnée à cause des caractères spéciaux. Je veux donc lui appliquer une fonction, qui le transformera en :
"<balise id=\'truc\' class=\'machin\'>ah la la</balise>"
ou même:
"\<balise id=\'truc\' class=\'machin\'\>ah la la\<\/balise\>"
bref quelque soit, quelque chose qui rentrera dans la base.
Pourqoui ne pas utiliser les SqlParameter?Envoyé par Sunsawe
C'est probablement la meilleure solution ^^
Pas de questions techniques par MP
J'ai omis de m'expliquer: j'ai cru comprendre que tu enregistres ton string dans une base de données et que c'est à cause des caractères comme ' " / et compagnie que tu as posté! Eh bien les SqlParameter te gèrent tout celà; ils bouffent tout
ça a en effet l'air de pouvoir palier à pas mal de chose.
Le problème, c'est que la base n'est pas de type ms sql. C'est une base embarquée. Pour l'instant je teste avec Firebird, mais il ne s'agit que de tests.
Elle sera certainement remplacée.
Je ne sais pas si ça répond à ton problème, mais au pire, la classe String possède la méthode replace : tu remplaces "'" par "\'" avant de l'insérer ...
Bonne journée
Bonjour,
J'y avais pensé tout en espérant qu'il y ait quelque chose de plus formel.
D'un autre coté, je viens de tenter avec replace et il semble que celà pose toujours un problème.
Lors de l'insert dans la base selon cette requete par exemple:
INSERT INTO ma_table(mon_champ) VALUES('la pomme de l\'instit');
Une erreur est produite parce que le quote ' de l\'instit est pris en compte comme un indicateur de fin d'argument.
Alors utilise des paramètres SQL : http://johannblais.developpez.com/tu...acces-donnees/
Besoin d'un MessageBox amélioré ? InformationBox pour .NET 1.1, 2.0, 3.0, 3.5, 4.0 sous license Apache 2.0.
Mon profil LinkedIn - MCT - MCPD WinForms - MCTS Applications Distribuées - MCTS WCF - MCTS WCF 4.0 - MCTS SQL Server 2008, Database Development - Mon blog - Twitter
Sinon, mais je ne sais pas si ça marche pour tous les SGBD (sql server c'est sur), tu dois remplacer dans ta commande les ' par des '' (deux fois ').
Donc au pire, en remplaçant " ' " par " '' " ca va le faire ... Mais je suis d'accord c'est un peu moche, surtout à coté des paramètres sql qui sont vraiment faits pour ça.
Bonne journée
Vous avez un bloqueur de publicités installé.
Le Club Developpez.com n'affiche que des publicités IT, discrètes et non intrusives.
Afin que nous puissions continuer à vous fournir gratuitement du contenu de qualité, merci de nous soutenir en désactivant votre bloqueur de publicités sur Developpez.com.
Répondre avec citation
Partager