Discussion :

[Furism]

Bonjour,

Ma question est relativement idiote, je m'en rends bien compte, mais je débute en ASP.NET ainsi qu'en C#. C'est un monde tout nouveau pour moi et je le découvre au fur et à mesure.

J'essaie de réaliser une page qui récupère un ID depuis un variable passée en GET, puis de récupérer depuis une base de donnée MySQL les informations liées à l'ID en question. Idéalement, j'aimerais pouvoir créer un "template" assez clair dans le fichier ASPX, pour le graphiste. J'aimerais simplement avoir à lui dire "Je t'enverrai ici le nom de fichier de l'image, contente toi de faire le CSS". Un peu comme un Repeater, mais sans répétition.

Mon code ressemble à ceci pour le moment :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
using System;
using System.Collections;
using System.Configuration;
using System.Data;
using System.Linq;
using System.Web;
using System.Web.Security;
using System.Web.UI;
using System.Web.UI.HtmlControls;
using System.Web.UI.WebControls;
using System.Web.UI.WebControls.WebParts;
using System.Xml.Linq;
using MySql.Data.MySqlClient;
 
public partial class ViewImage : System.Web.UI.Page
{
    protected void Page_Load(object sender, EventArgs e)
    {
        // Check if an image id is specified in the get variable "imageid". 
        // ##### Will need to add a verification to evade SQL injections! #####
        if (String.Compare(Request.QueryString["imageid"], null) > 0)
        {
            string imageId = Request.QueryString["imageid"];
            // We query the images table
            string selectSQL;
            selectSQL = "SELECT id, date, filename, uploaderid, lang, descr FROM images ";
            selectSQL += "WHERE id=" + imageId + " LIMIT 1";
 
            string connString = ConfigurationManager.ConnectionStrings["MySQL"].ConnectionString;
            MySqlConnection con = new MySqlConnection(connString);
            MySqlCommand cmd = con.CreateCommand();
            cmd.CommandText = selectSQL;
            MySqlDataReader reader;
 
            // We try to query the infos about the image and extract them
            try
            {
                con.Open();
                reader = cmd.ExecuteReader();
                reader.Read();
                viewImageLabelTwo.Text = reader["filename"];
                reader.Close();
            }
            finally
            {
                con.Close();
            }
        }
        else
        {
            viewImageLabelTop.Text = "No image is selected.";
        }
 
    }
}

Mais lors de la compilation, Visual Studio me retourne cette erreur:

Error 257 Cannot implicitly convert type 'object' to 'string'. An explicit conversion exists (are you missing a cast?)

J'avoue que j'ai du mal à comprendre ce message, et je suis sûr que c'est quelque chose d'assez bête que j'ai du oublier ! Toute aide serait la bienvenue!

[Louis-Guillaume Morand]

tu débutes mais on va te donner des bons conseils dès maintenant ca te servira pour la suite.

Premier point
NE JAMAIS JAMAIS faire confiance aux données d'URL. Si j'appelle ta page en mettant par exemple

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

afficheImage.aspx?imageid=1;DELETE * FROM IMAGES;--

j'efface tes données


Ainsi donc, tu dois donc utiliser une autre méthode:
1 première solution. Utiliser une requête paramétrée et utiliser imageId comme paramètre de type Integer

2 caster ton imageId en Int32 avant de le concatener à ta chaine. (la contenation est toujours à éviter si possible)


Second Point
pense à utiliser le mot clé using pour les objets disposables. exemple

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
 
using(MySqlConnection con = new MySqlConnection(connString))
{
 
 ton code
 
}

ca aide au nettoyage des ressources.

Troisieme point

if (String.Compare(Request.QueryString["imageid"], null) > 0)

je suis pas sûr que ca soit plus simple et efficace que

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

if(Request.QueryString["imageid"] != String.IsNullOrEmpty)

qui est la méthode la plus propre et la plus performante.

Quatrieme point
Quelle est la ligne qui plante? si tu cliques sur l'erreur dans visual, ca te donne la ligne. c'est pas à nous de chercher. aide nous et nous t'aiderons

[Redouane]

Bonjour,

Je suis completement d'accord avec Louis-Guillaume Morand, et franchement, de ma part, j'apprend des trucs de lui .

Je pense que la ligne qui plante c'est celle là :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

viewImageLabelTwo.Text = reader["filename"];

il faut en fait faire :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

viewImageLabelTwo.Text = reader["filename"].ToString();

car reader["filename"] est de type objet.

NB: essaye de se documenter sur SQL Injection

[Kaidan]

if(Request.QueryString["imageid"] != String.IsNullOrEmpty) ?

if(!String.IsNullOrEmpty(Request.QueryString["imageid"]) plutôt

[Louis-Guillaume Morand]

if(Request.QueryString["imageid"] != String.IsNullOrEmpty) ?

if(!String.IsNullOrEmpty(Request.QueryString["imageid"]) plutôt

j'étais en train de relire mon post et je me disais que je l'avais jamais écrit de cette façon ^^
l'habitude d'utiliser String.Empty je pense

[Furism]

Merci à tous pour vos conseils. Le problème était bien celui relevé par Redouane, j'avais omis le .toString lorsque j'utilisais reader["filename"].

Concernant le 1er point de Louis-Guillaume, je suis d'accord mais en vérité je cherche toujours une bonne façon d'éviter les injections SQL (je l'ai mis en commentaire dans le code ). PHP utilise une fonction nommée mysql_real_escape() qui prend la variable en entrée, mais je n'ai pas encore trouvé de moyen propre de faire ça.

Quelle serait la solution la plus propre, parmis les deux suggérées?

Je prend bonne note du second point, je vais me renseigner pour voir plus en détails comme fonctionne ce mot clé. Le troisième point est exactement ce que je cherchais, mais faute d'avoir trouvé j'ai du innover un peu. Vos suggestions ont en effet l'air beaucoup plus propres.

Quant au quatrième point, je suis bien d'accord que j'aurais du éviter d'oublier de noter la ligne en question. C'est quand même ça le plus important! Désolé de vous avoir forcé debug manuellement :/