Discussion :

[olibara]

Bonjour

Excusez moi de ne certainement pas etre le premier a poser une qustion sur les requettes parametrée en MySql

Jusqu'ici je contournait l'obstacle considérant que la methode etait un peu fastidieuse et pas tres lisible

Mais voila je suis tombé sur l'os !

J'utilise depuis quelques mois une facon que je trouve simple et tres pratique

1- je definis la commande en string a l'aide de String.Format
2- J'appelle la methode ad hoc dans une petite classe query qui se charge de la connection et tout le reste

Exemple :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
      CultureInfo ci = new CultureInfo("fr-FR");
      ci.NumberFormat.NumberDecimalSeparator = ".";
 
      string ins = "INSERT INTO Adresses (addrID,PostCode,NIS,Plaats,StraatNaam,HuisNum,Omschrijving,X,Y) "
      + "VALUES ({0},{1},{2},'{3}','{4}','{5}','{6}',{7},{8});";
      string h = string.Format(ci,ins
        , 0
        , txb_Post.Text
        , curNIS
        , txb_Plaats.Text
        , txb_Rue.Text
        , txb_Num.Text
        , txb_Desc.Text
        , X
        , Y);
      int ID = (int)qr.executeScalar(h);

Mais voila, je viens de trouver la faille !!

txb_Rue.Text="rue d'arsonville";

Patatra ce foutu '\'' casse tout !!

Donc je me dis que je dois passer par une requete parametrée
MAIS :
1- Sans perdre l'avantage de mon petit systeme
2- En ne negligeant pas le CultureInfo que j'utilise pour garder les virgules dans le float !

Je fais appel a l'equipe

[Skyounet]

C'est quoi cette horreur ?

Utilise simplement une requête paramétrée tout bête, pourquoi tu t'embêtes on ton machin là ?

1 - Je ne vois aucun avantage à ton système
2 - Il me semble (pas sûr) que le . et la , fonctionnent tout 2 (sinon tu peux faire un replace du contenu de ta textbox).

[olibara]

Horreur horreur !

Vite dit

1- Une requete parametrée "toute bete" comme tu dis c'est certainement trois fois plus de code a écrire !

2- Non le point décimal ne passe pas en float MySql, il faut une virgule, et dans le cas présent la virgule ne vient pas d'un textbox mais du .Format d'un float cSharp

3- Admettons effectivement que je fasse une requette parametrée. Je n'ai pas encore bien saisi la maniere qui me permettrait de définir la commande et les parametre avant de les passer a ma methode qui prends en charge la declaration de l'adapteur, l'ouverture de de la db et l'execution de la commande

4- J'admet que je fais une allergie a ces commandes parametres depuis que je les ai vu la premiere fois. Mon string.format me parrait infiniment plus souple et simple (sauf dans le cas présent)

[imothepe_33]

Tu sais "Skyounet" a raison utilise les options prescrites dans ADO .Net pour l'utilisation des requêtes paramétrées. C'est aussi simple que Bonjour.
Bon courage...

[olibara]

bon allez !

Je vais faire un petit effort

[olibara]

Salut

J'ai effectivement fair un GROS effort

Ca marche mais quel horreur ce truc : j'ai l'impression de me taper des lignes d'assembleur !

Et c'est pas tout !
Apres avoir suivi des exemples que j'ai adapté a mes besoins, voici que le compilateur me dis que je suis obsolete

MySql.Data.MySqlClient.MySqlParameterCollection.Add(string, object)' is obsolete:
Add(String parameterName, Object value) has been deprecated.
Use AddWithValue(String parameterName, Object value)'

Allons bon !
Voici ce que j'ai fait
Qu'aurais-je du faire ?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
      MySql.Data.MySqlClient.MySqlCommand MyCmd = new MySql.Data.MySqlClient.MySqlCommand();
 
      string ins = "INSERT INTO Adresses "
                   + " (PostCode,NIS,Plaats,StraatNaam,HuisNum,Omschrijving,X,Y) "
                   + " VALUES ( "
                   + " ?PostCode,"
                   + " ?Nis,"
                   + " ?Plaats,"
                   + " ?Straat,"
                   + " ?Huis,"
                   + " ?Desc,"
                   + " X,"
                   + " ?Y";
 
      MyCmd.CommandText = ins;
      MyCmd.Parameters.Add("?PostCode", txb_Post.Text);
      MyCmd.Parameters.Add("?Nis", curNIS);
      MyCmd.Parameters.Add("?Plaats", txb_Plaats.Text);
      MyCmd.Parameters.Add("?Straat", txb_Rue.Text);
      MyCmd.Parameters.Add("?Huis", txb_Num.Text);
      MyCmd.Parameters.Add("?Desc", txb_Desc.Text);
      MyCmd.Parameters.Add("?X", X);
      MyCmd.Parameters.Add("?Y", Y);
 
 
      int ID = (int)qr.executeScalar(MyCmd);

[Skyounet]

Bah utilise AddWithValue comme il te dit...

[olibara]

Excuse moi Skyounet mais je suis un peu bete ce soir

Je vois vraiment pas ce qu'il veut que je fasse

C'est quoi un AddWithValue par rapport a ce que j'ai fait ?

L'exemple dans la doc MySql me semble encore pire : ils font une boucle sur un array de valeurs de 0 a count !

Super ! il faut surtout pas perdre l'ordre .....

[olibara]

Ca va !

Je ne suis pas resté idiot trop longtemps : je cherchais du coté du passage des parametres !
J'avais pas capté que simplement le nom de la méthode qui avait changé

Tu connais la raison ?

[Skyounet]

Tu connais la raison ?

Non.

Peut-être pour coller aux autres provider où la méthode s'appelle aussi AddWithValue (quoiqu'il me semble qu'il y a aussi une méthode Add...).

Dans tous les cas, il vaut mieux utiliser AddWithValue.

[olibara]

Merci Skyounet

Je met résolu
J'ai une autre question concernant le where in (..) que j'ai mis dans un nouveau sujet

[Guulh]

4- J'admet que je fais une allergie a ces commandes parametres depuis que je les ai vu la premiere fois. Mon string.format me parrait infiniment plus souple et simple (sauf dans le cas présent)

Rassure toi, ça ne facilite pas seulement ta vie ; ça facilite aussi la vie des vilains piratins qui vont faire foirer ton système... Va vite lire ceci : http://johannblais.developpez.com/tu...acces-donnees/ (la section IV en particulier)

Les requêtes paramétrées ont plusieurs avantages :
-elles assurent la sécurité, en évitant l'injection SQL
- elles évitent de s'embêter avec l'échappement de caractères spéciaux comme / ' " . ,
- elles sont optimisées dès le deuxième appel. Avec ton code et tes string.Format, la base voit arriver une requête à chaque fois ; avec des requêtes paramétrées, la commande est toujours la même, seuls les valeurs changent, et le SGBD n'a besoin de parser la requête qu'une seule fois.

Sinon, pourquoi ça s'appelle Add : ADO.Net se caractérise entre autres par une série d'interfaces IDbCommand, IDbConnection, IDbParameter, ... que chaque provider implémente. Dans le cas de MySQL, ils ont peut être voulu séparer les méthodes Add qui existent déjà dans l'interface IDbCommand, et celles qui n'y sont pas (comme Add(String, object) justement).