Discussion :

[cotede2]

Bonjour , je dois maintenir et faire évoluer une application JAVA/SWING qui inter agit avec une base de données SQL SERVER.
Le développeur n'avait pas pris en compte la gestion des apostrophes dans les requêtes.
Du coup je suis un peu perdu.

Sachant qu'il a créé une classe dédiée aux requêtes SQL:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
  public boolean executeQuery(String query, Vector data) {
 
 
        if (conn == null)
            return false;
 
        if (data == null) {
            data = new Vector();
        }
 
        try {
            log.debug("query: " + query);
 
            Statement stmt = conn.createStatement() ;
            ResultSet rs = stmt.executeQuery( query );
 
            int i = 0, max=0;
 
            // Loop through the result set
            while( rs.next() ) {
 
                ResultSetMetaData rsmd = rs.getMetaData();
                max = rsmd.getColumnCount();
//                log.debug("number cols:" + max);
 
// String s = i + ". ";
 
                Vector row = new Vector();
                for (int j=1; j<max+1; j++) {
                    row.add(rs.getString(j));
// s += rs.getString(j) + ":";
                }
                data.add(row);
                i++;
// log.debug(s);
            }
 log.debug("rows: " + data.size());
            rs.close() ;
        }
        catch( SQLException se )
        {
            log.error( "SQL Exception:" ) ;
 
              // Loop through the SQL Exceptions
            while( se != null )
            {
                log.error( "State  : " + se.getSQLState()  ) ;
                log.error( "Message: " + se.getMessage()   ) ;
                log.error( "Error  : " + se.getErrorCode() ) ;
 
                se = se.getNextException() ;
            }
            return false;
        }
        catch( Exception e )
        {
             log.fatal("FATAL:", e);
             return false;
        }
        return true;
    }

J'avais pensé à utiliser la fonction replace de Java String.

replace("'","''"); Mais le probleme c'est qu'en entrée je reçois des requetes toutes faites.

exemple

UPDATE TABLE SET CHAMP = 'VALUE'
où la valeur peut être l'heure
Si j'appelle le replace
J'aurais au finale :

UPDATE TABLE SET CHAMP = ''l''heure'' et qui ne marche pas.

Existe-t-il une solution plus ad equate que de faire un String replace sur chaque chammp récupéré avant d'envoyer la requête ? merci

[Fabien Celaia]

C'est une bonne idée de partir sur une fonction permettant d'ajouter les apostrophes, il faudra la distiller correctement au moment de la récupération du paramètre (donc avant la fonction ExecuteQuery), et pas sur la chaîne SQL complète

[SQLpro]

Exemple :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
--===========================================================================--      
-- Ajoute les double quote à la chaine de caractères
--===========================================================================--      
 
CREATE FUNCTION dbo.F_SQLSTRING(@STR VARCHAR(max))
RETURNS VARCHAR(max)
AS
/****************************************************************************** 
* renvoie une chaine de car. avec quotes doublées et ajoutées axu extrémités  *
******************************************************************************* 
* Fred. Brouard - http://sqlpro.developpez.com - www.sqlspot.com - 2009-04-30 * 
******************************************************************************/ 
BEGIN
   RETURN '''' + REPLACE(@STR, '''', '''''') +'''';
END;
GO

A +

[jero44]

Bonjour,

POur éviter ce type de problème il est nécessaire de passer par une requête paramétrée en Java (cnx.prepareStatement) et non pas une requete sans paramètre. Avec le prepareStatement il n'y a plus de prablème d'apostrophe ou autre
Exemple:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
 
PreparedStatement rqt=cnx.prepareStatement("insert into maTable (nom, prenom) values (?,?)");
rqt.setString(1, "Le nom");
rqt.setString(2, "Le prénom");
rqt.executeUpdate();

[cotede2]

oui à par filtrer les champs un à un avant l'envoi dans la requete UPDATE , je ne vois pas d'autres solutions.
En effet en entrée , je reçois une chaîne

var1 = l'heure
UPDATE TABLE SET CHAMP = 'var1' ......

Ce qui me donne ceci si j'applique la fonction replace que ce soit par SQL ou Java.

UPDATE TABLE SET CHAMP = ''l''heure'' ce qui n'est pas le résultat voulu.

La dernière solution étant le Preparred Statement mais la personne n'a pas développé l'application dans cette optique là.