Commande SQL simple

Version imprimable

Commande SQL simple

Bonjour,

Ma question est relativement idiote, je m'en rends bien compte, mais je débute en ASP.NET ainsi qu'en C#. C'est un monde tout nouveau pour moi et je le découvre au fur et à mesure.

J'essaie de réaliser une page qui récupère un ID depuis un variable passée en GET, puis de récupérer depuis une base de donnée MySQL les informations liées à l'ID en question. Idéalement, j'aimerais pouvoir créer un "template" assez clair dans le fichier ASPX, pour le graphiste. J'aimerais simplement avoir à lui dire "Je t'enverrai ici le nom de fichier de l'image, contente toi de faire le CSS". Un peu comme un Repeater, mais sans répétition.

Mon code ressemble à ceci pour le moment :
Code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 using System; using System.Collections; using System.Configuration; using System.Data; using System.Linq; using System.Web; using System.Web.Security; using System.Web.UI; using System.Web.UI.HtmlControls; using System.Web.UI.WebControls; using System.Web.UI.WebControls.WebParts; using System.Xml.Linq; using MySql.Data.MySqlClient; public partial class ViewImage : System.Web.UI.Page { protected void Page_Load(object sender, EventArgs e) { // Check if an image id is specified in the get variable "imageid". // ##### Will need to add a verification to evade SQL injections! ##### if (String.Compare(Request.QueryString["imageid"], null) > 0) { string imageId = Request.QueryString["imageid"]; // We query the images table string selectSQL; selectSQL = "SELECT id, date, filename, uploaderid, lang, descr FROM images "; selectSQL += "WHERE id=" + imageId + " LIMIT 1"; string connString = ConfigurationManager.ConnectionStrings["MySQL"].ConnectionString; MySqlConnection con = new MySqlConnection(connString); MySqlCommand cmd = con.CreateCommand(); cmd.CommandText = selectSQL; MySqlDataReader reader; // We try to query the infos about the image and extract them try { con.Open(); reader = cmd.ExecuteReader(); reader.Read(); viewImageLabelTwo.Text = reader["filename"]; reader.Close(); } finally { con.Close(); } } else { viewImageLabelTop.Text = "No image is selected."; } } }
Mais lors de la compilation, Visual Studio me retourne cette erreur:

Citation:

Error 257 Cannot implicitly convert type 'object' to 'string'. An explicit conversion exists (are you missing a cast?)

J'avoue que j'ai du mal à comprendre ce message, et je suis sûr que c'est quelque chose d'assez bête que j'ai du oublier ! Toute aide serait la bienvenue!

10/07/2009, 17h17
Louis-Guillaume Morand
tu débutes mais on va te donner des bons conseils dès maintenant ca te servira pour la suite.

Premier point
NE JAMAIS JAMAIS faire confiance aux données d'URL. Si j'appelle ta page en mettant par exemple

Code:

afficheImage.aspx?imageid=1;DELETE * FROM IMAGES;--

j'efface tes données :)

Ainsi donc, tu dois donc utiliser une autre méthode:
1 première solution. Utiliser une requête paramétrée et utiliser imageId comme paramètre de type Integer

2 caster ton imageId en Int32 avant de le concatener à ta chaine. (la contenation est toujours à éviter si possible)

Second Point
pense à utiliser le mot clé using pour les objets disposables. exemple
Code:

1 2 3 4 5 6 7 using(MySqlConnection con = new MySqlConnection(connString)) { ton code }
ca aide au nettoyage des ressources.

Troisieme point

Citation:

if (String.Compare(Request.QueryString["imageid"], null) > 0)

je suis pas sûr que ca soit plus simple et efficace que

Code:

if(Request.QueryString["imageid"] != String.IsNullOrEmpty)

qui est la méthode la plus propre et la plus performante.

Quatrieme point
Quelle est la ligne qui plante? si tu cliques sur l'erreur dans visual, ca te donne la ligne. c'est pas à nous de chercher. aide nous et nous t'aiderons ;)
10/07/2009, 17h27
Redouane

Bonjour,

Je suis completement d'accord avec Louis-Guillaume Morand, et franchement, de ma part, j'apprend des trucs de lui ;).

Je pense que la ligne qui plante c'est celle là :

Code:

viewImageLabelTwo.Text = reader["filename"];

il faut en fait faire :

Code:

viewImageLabelTwo.Text = reader["filename"].ToString();

car reader["filename"] est de type objet.

NB: essaye de se documenter sur SQL Injection :P
10/07/2009, 17h39
Kaidan

if(Request.QueryString["imageid"] != String.IsNullOrEmpty) ?

if(!String.IsNullOrEmpty(Request.QueryString["imageid"]) plutôt :roll:
10/07/2009, 17h42
Louis-Guillaume Morand

Citation:

Envoyé par Kaidan

if(Request.QueryString["imageid"] != String.IsNullOrEmpty) ?

if(!String.IsNullOrEmpty(Request.QueryString["imageid"]) plutôt :roll:

j'étais en train de relire mon post et je me disais que je l'avais jamais écrit de cette façon ^^
l'habitude d'utiliser String.Empty je pense :D
10/07/2009, 18h48
Furism

Merci à tous pour vos conseils. Le problème était bien celui relevé par Redouane, j'avais omis le .toString lorsque j'utilisais reader["filename"].

Concernant le 1er point de Louis-Guillaume, je suis d'accord mais en vérité je cherche toujours une bonne façon d'éviter les injections SQL (je l'ai mis en commentaire dans le code ;) ). PHP utilise une fonction nommée mysql_real_escape() qui prend la variable en entrée, mais je n'ai pas encore trouvé de moyen propre de faire ça.

Quelle serait la solution la plus propre, parmis les deux suggérées?

Je prend bonne note du second point, je vais me renseigner pour voir plus en détails comme fonctionne ce mot clé. Le troisième point est exactement ce que je cherchais, mais faute d'avoir trouvé j'ai du innover un peu. Vos suggestions ont en effet l'air beaucoup plus propres.

Quant au quatrième point, je suis bien d'accord que j'aurais du éviter d'oublier de noter la ligne en question. C'est quand même ça le plus important! Désolé de vous avoir forcé debug manuellement :/
10/07/2009, 19h32
Louis-Guillaume Morand

Citation:

Quelle serait la solution la plus propre, parmis les deux suggérées?

ni l'une ni l'autre ^^
Disons qu'il existe des frameworks faits pour dont celui très bien fait par Fabrice Marguerie et son module s'appelle PageMethods. Tant qu'on l'utilise de façon simple, pour la génération d'URLs ou de parsing de paramètres, il est génial. Je lui ai par contre trouvé des BUGs si l'on s'amuse à encoder certaines choses car de mémoire, il fait un URLDecode de trop, ce qui gêne dans certains cas (notamment dans le cas où je voulais l'utiliser) et j'ai donc dû le virer pour cette page.

sinon, la plus propre, dans ton cas, c'est de tester toi-même si la donnée est bonne ou erronée. ca permet de réagir vis à vis de l'utilisateur.

Néanmoins, ca n'empeche pas de toute manière d'utiliser une requête paramétrée derrière

Et donc, la meilleure méthode pour tester si la valeur est bonne ou erronée (ou en tout cas d'éviter une injection SQL), serait de faire quelque chose comme ceci ?
Code:

1 2 3 4 5 6 7 8 double d = 0; Double.TryParse(Request.QueryString["imageid"], out d); if(d == 1){ viewImageLabelTop.Text = "Is an int"; } else{ viewImageLabelTop.Text = "Is not an int"; }
Puis de le reconvertir en string par la suite pour l'utiliser dans le Select ?

10/07/2009, 20h06
Louis-Guillaume Morand

le début oui, la fin non.

pourquoi d vaudrait 1? D vaudra la valeur de ton ID. moi je mettrai plutot un test

Code:

if(d>0) OK

car tu sais qu'un ID en base est censé etre positif. je dis bien censé car j'ai un collègue qui s'est amusé à mettre des ID négatifs et bizarrement, derrière, le programme marche plus très bien :)

En effet, ça marche très bien ainsi! Merci :)

Voici la fonction, pour la postérité.

Code:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
 
// Returns 1 if specified string is a number
        public static bool CheckIfNumber(string getValue)
        {
            double d = 0;
            Double.TryParse(getValue, out d);
 
            // If getValue was a number, returned value is larger than 0
            if (d > 0)
            {
                return true;
            }
            else
            {
                return false;
            }
        }

10/07/2009, 20h25
Louis-Guillaume Morand

ah non, pas bon ca non plus.
enfin j'aurais pas forcément fait comme ca. car là, dans le cas où tu utiliserais un Int derrière, tu devrais refaire un cast de ton string (paramètre).

L'avantage du TryParse, c'est de faire un cast en même temps que gérer les exceptions.
il faudrait je pense, pouvoir utiliser directement ton "d" puisqu'il est prêt à l'emploi
10/07/2009, 20h27
Furism

Oui, j'avais prévu de reconvertir la valeur en string dans la fonction et la retourner, mais je préfère me garder une petite flexibilité :-)