MySql requete parametrée

Version imprimable

Bonjour

Excusez moi de ne certainement pas etre le premier a poser une qustion sur les requettes parametrée en MySql

Jusqu'ici je contournait l'obstacle considérant que la methode etait un peu fastidieuse et pas tres lisible :traine:

Mais voila je suis tombé sur l'os !

J'utilise depuis quelques mois une facon que je trouve simple et tres pratique

1- je definis la commande en string a l'aide de String.Format
2- J'appelle la methode ad hoc dans une petite classe query qui se charge de la connection et tout le reste

Exemple :
Code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 CultureInfo ci = new CultureInfo("fr-FR"); ci.NumberFormat.NumberDecimalSeparator = "."; string ins = "INSERT INTO Adresses (addrID,PostCode,NIS,Plaats,StraatNaam,HuisNum,Omschrijving,X,Y) " + "VALUES ({0},{1},{2},'{3}','{4}','{5}','{6}',{7},{8});"; string h = string.Format(ci,ins , 0 , txb_Post.Text , curNIS , txb_Plaats.Text , txb_Rue.Text , txb_Num.Text , txb_Desc.Text , X , Y); int ID = (int)qr.executeScalar(h);
Mais voila, je viens de trouver la faille !!

Citation:

txb_Rue.Text="rue d'arsonville";

Patatra ce foutu '\'' casse tout !!

Donc je me dis que je dois passer par une requete parametrée
MAIS :
1- Sans perdre l'avantage de mon petit systeme
2- En ne negligeant pas le CultureInfo que j'utilise pour garder les virgules dans le float !

Je fais appel a l'equipe :oops:

04/11/2008, 21h09
Skyounet

C'est quoi cette horreur ? 8O

Utilise simplement une requête paramétrée tout bête, pourquoi tu t'embêtes on ton machin là ?

1 - Je ne vois aucun avantage à ton système
2 - Il me semble (pas sûr) que le . et la , fonctionnent tout 2 (sinon tu peux faire un replace du contenu de ta textbox).
04/11/2008, 22h36
olibara

Horreur horreur !

Vite dit

1- Une requete parametrée "toute bete" comme tu dis c'est certainement trois fois plus de code a écrire !

2- Non le point décimal ne passe pas en float MySql, il faut une virgule, et dans le cas présent la virgule ne vient pas d'un textbox mais du .Format d'un float cSharp

3- Admettons effectivement que je fasse une requette parametrée. Je n'ai pas encore bien saisi la maniere qui me permettrait de définir la commande et les parametre avant de les passer a ma methode qui prends en charge la declaration de l'adapteur, l'ouverture de de la db et l'execution de la commande

4- J'admet que je fais une allergie a ces commandes parametres depuis que je les ai vu la premiere fois. Mon string.format me parrait infiniment plus souple et simple (sauf dans le cas présent)
05/11/2008, 18h07
imothepe_33

Tu sais "Skyounet" a raison utilise les options prescrites dans ADO .Net pour l'utilisation des requêtes paramétrées. C'est aussi simple que Bonjour.
Bon courage...
05/11/2008, 18h51
olibara

bon allez !

Je vais faire un petit effort ;)

Salut

J'ai effectivement fair un GROS effort

Ca marche mais quel horreur ce truc : j'ai l'impression de me taper des lignes d'assembleur !

Et c'est pas tout !
Apres avoir suivi des exemples que j'ai adapté a mes besoins, voici que le compilateur me dis que je suis obsolete

Citation:

MySql.Data.MySqlClient.MySqlParameterCollection.Add(string, object)' is obsolete:
Add(String parameterName, Object value) has been deprecated.
Use AddWithValue(String parameterName, Object value)'

Allons bon !
Voici ce que j'ai fait
Qu'aurais-je du faire ?

Code:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
      MySql.Data.MySqlClient.MySqlCommand MyCmd = new MySql.Data.MySqlClient.MySqlCommand();
 
      string ins = "INSERT INTO Adresses "
                   + " (PostCode,NIS,Plaats,StraatNaam,HuisNum,Omschrijving,X,Y) "
                   + " VALUES ( "
                   + " ?PostCode,"
                   + " ?Nis,"
                   + " ?Plaats,"
                   + " ?Straat,"
                   + " ?Huis,"
                   + " ?Desc,"
                   + " X,"
                   + " ?Y";
 
      MyCmd.CommandText = ins;
      MyCmd.Parameters.Add("?PostCode", txb_Post.Text);
      MyCmd.Parameters.Add("?Nis", curNIS);
      MyCmd.Parameters.Add("?Plaats", txb_Plaats.Text);
      MyCmd.Parameters.Add("?Straat", txb_Rue.Text);
      MyCmd.Parameters.Add("?Huis", txb_Num.Text);
      MyCmd.Parameters.Add("?Desc", txb_Desc.Text);
      MyCmd.Parameters.Add("?X", X);
      MyCmd.Parameters.Add("?Y", Y);
 
 
      int ID = (int)qr.executeScalar(MyCmd);

09/11/2008, 22h11
Skyounet

Bah utilise AddWithValue comme il te dit...
09/11/2008, 22h38
olibara

Excuse moi Skyounet mais je suis un peu bete ce soir :oops::oops:

Je vois vraiment pas ce qu'il veut que je fasse

C'est quoi un AddWithValue par rapport a ce que j'ai fait ?

L'exemple dans la doc MySql me semble encore pire : ils font une boucle sur un array de valeurs de 0 a count !

Super ! il faut surtout pas perdre l'ordre .....
09/11/2008, 22h57
olibara

Ca va !

Je ne suis pas resté idiot trop longtemps : :roll: je cherchais du coté du passage des parametres !
J'avais pas capté que simplement le nom de la méthode qui avait changé :mouarf:

Tu connais la raison ?
09/11/2008, 23h00
Skyounet

Citation:

Envoyé par olibara

Tu connais la raison ?

Non.

Peut-être pour coller aux autres provider où la méthode s'appelle aussi AddWithValue (quoiqu'il me semble qu'il y a aussi une méthode Add...).

Dans tous les cas, il vaut mieux utiliser AddWithValue.
09/11/2008, 23h07
olibara

Merci Skyounet

Je met résolu
J'ai une autre question concernant le where in (..) que j'ai mis dans un nouveau sujet
10/11/2008, 09h17
Guulh

Citation:

Envoyé par olibara

4- J'admet que je fais une allergie a ces commandes parametres depuis que je les ai vu la premiere fois. Mon string.format me parrait infiniment plus souple et simple (sauf dans le cas présent)

Rassure toi, ça ne facilite pas seulement ta vie ; ça facilite aussi la vie des vilains piratins qui vont faire foirer ton système... Va vite lire ceci : http://johannblais.developpez.com/tu...acces-donnees/ (la section IV en particulier)

Les requêtes paramétrées ont plusieurs avantages :
-elles assurent la sécurité, en évitant l'injection SQL
- elles évitent de s'embêter avec l'échappement de caractères spéciaux comme / ' " . ,
- elles sont optimisées dès le deuxième appel. Avec ton code et tes string.Format, la base voit arriver une requête à chaque fois ; avec des requêtes paramétrées, la commande est toujours la même, seuls les valeurs changent, et le SGBD n'a besoin de parser la requête qu'une seule fois.

Sinon, pourquoi ça s'appelle Add : ADO.Net se caractérise entre autres par une série d'interfaces IDbCommand, IDbConnection, IDbParameter, ... que chaque provider implémente. Dans le cas de MySQL, ils ont peut être voulu séparer les méthodes Add qui existent déjà dans l'interface IDbCommand, et celles qui n'y sont pas (comme Add(String, object) justement).