Discussion :

[kaizer88]

bonjour j'ai un problème de syntaxe avec mon sqlite sur visual basic 2008 , je code avec le langage c#.J'arrive pas a trouver l'erreur sur ma requète, si quelqu'un peut m'aider:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

 cmd.CommandText = "UPDATE client SET (nom = '" + nom + "', prenom='" + prenom + "',carte_identite='" + carte_identite + "',adresse='" + adresse + "',numero_tel='" + telephone + "',email='" + mail + "' WHERE carte_identite= +"+carte_identite+"); ";

[ctxnop]

Bah moi je vois deux problèmes d'un coup d'oeil
Le premier :
Tu dis coder en C# dans Visual Basic... Bah ca risque pas de marcher. Donc C# ou VB ? Quand c'est en VB le vrai opérateur de concaténation des chaines c'est le '&', pas le '+' et il n'y a pas de ';' final.
Le second :
Pas bien du tout de créer ta chaine comme ca, elle devient sensible à l'injection SQL.
Sur l'objet cmd tu troruvera une collection 'Parameters'

Code csharp :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
 
cmd.CommandText = "UPDATE client SET (nom = @NOM)";
cmd.Parameters.Add(new SqlParameter("@NOM", nom));

Cette façon de faire t'assure que quelque soit le type du paramètre il est passé correctement sans injection possible. Tu remarquera l'absence des ' autour du paramètre, ceux-ci seront rajouté tout seul car le paramètre est de type system.string.

Sortie de ca, niveau SQL pure, tu t'es aussi planté dans tes parenthèses. Tu la commence avant l'instruction SET et tu la fini après le WHERE.
Dans ton cas les parenthèses ne sont de toute façon pas utiles.

[kaizer88]

je me suis tromper c'est sur visual studio 2008. Bon je vais essayer de faire ce que tu as dit aprés je vais te dire.

[Bluedeep]

je me suis tromper c'est sur visual studio 2008. .

Et bien en C# ?

[ctxnop]

En fait il y a deux erreurs de syntaxes dans ta requête. Sans prendre en compte mon histoire de SqlParameter, voilà ce que devrait être ta requête :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
cmd.CommandText = "UPDATE client SET nom = '" + nom + "', prenom = '" + prenom + "', carte_identite = '" + carte_identite + "', adresse = '" + adresse + "', numero_tel = '" + telephone + "', email = '" + mail + "' WHERE carte_identite = '" + carte_identite + "'";

La première erreur étant les parenthèses qui n'avaient aucune utilité et surtout était mal placées puisque tu la fermait avait écris " UPDATE client SET (... WHERE ...)".
La seconde erreur n'aurait pas eu lieu avec l'utilisation des SqlParameters, ce sont des '" + variable + "' a répétition qui rendent l'erreur dur à voir.
Mais regardes bien ton WHERE, tu as écris " WHERE carte_identite= +"+ "

Edit:
En fait, en corrigeant un oublie de ma part me suis apercu qu'il y a une troisième erreur ^^'
Dans la clause SET tu met la valeur de carte_identite entre ''
Bon déjà ca sert a rien de faire un update de cette valeur puisque y'a un where qui ne sélectionne que les lignes pour lesquelles la valeur est déjà celle-ci. Mais surtout, dans ce WHERE, la valeur n'est pas mise entre ''.

[poussinphp]

Pour éviter ce genre de problèmes, je te conseil d'utiliser le string.Format. c'est plus lisible

ex:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

cmd.CommandText = string.Format(@"UPDATE client SET (nom ='{0}', prenom='{1}',carte_identite='{2}',adresse='{3}',numero_tel='{4}',email= '{5}' WHERE carte_identite='{2}');", nom, prenom, carte_identite, adresse, numero_tel, email);

cela dit, je reste d'avis qu'il vaut mieux utiliser des requêtes paramétrées car c'ets plus simple, plus lisible et ça t'évite de l'injection sql dans ton code car là coté sécurité, c'est pas terrible.

[Bluedeep]

Pour éviter ce genre de problèmes, je te conseil d'utiliser le string.Format. c'est plus lisible

Non, dans ce cas on utilise les paramètres, si on veut faire propre.