Requête
Résolu
nicomilville
Messages postés
3472
Date d'inscription
lundi 16 juillet 2007
Statut
Membre
Dernière intervention
28 février 2014
-
4 sept. 2007 à 10:19
Netlink Messages postés 139 Date d'inscription mercredi 2 avril 2003 Statut Membre Dernière intervention 12 juillet 2011 - 4 sept. 2007 à 12:22
Netlink Messages postés 139 Date d'inscription mercredi 2 avril 2003 Statut Membre Dernière intervention 12 juillet 2011 - 4 sept. 2007 à 12:22
2 réponses
Netlink
Messages postés
139
Date d'inscription
mercredi 2 avril 2003
Statut
Membre
Dernière intervention
12 juillet 2011
4 sept. 2007 à 12:22
4 sept. 2007 à 12:22
Salut,
Déjà à la vue de ta requête, tu commets une grossière erreur de sécurité en n'utilisant pas une requête paramétrée. Si tu mets ceci :
requete = "SELECT id ,site, nom,date as DATE,heure, compte_rendu, fichier_heb_entrant,
fichier_offre_entrant,fichier_xslt FROM table_offre WHERE id=" & lbl.Text()
tu prends le risque de subir des injections de code SQL. Il vaut mieux utiliser quelque chose du genre :
Dim sSQL AsString =
"SELECT InfoID FROM [dbo].[Infos] WHERE InfoID=@InfoID"
[...]
Dim
cmd As SqlCommand = New
SqlCommand(sSQL, conn)
With
cmd.Parameters
.Add(New SqlParameter("@InfoID"
, SqlDbType.Int))
EndWith
With
cmd
.Parameters("@InfoID").Value = CInt
(varID)
End
With
Ou encore mieux, une procédure stockée. Pour plus d'infos sur les requêtes paramétrées (comme ci-dessus), voir ici :
http://webman.developpez.com/articles/aspnet/sqlparameter/vbnet/
Dans ton While, tu mets un truc qui ressemble à ceci :
While
oReader.Read()
Session("offre_ID") = oReader.GetInt32(0)
Session("offre_Site") = oReader.GetString(1)
Session("offre_Nom") = oReader.GetString(2)
Session("offre_Date") = oReader.GetDate(3)
Session("offre_Heure") = oReader.GetString(4)
Session("offre_CR") = oReader.GetString(5)
Session("offre_FHE") = oReader.GetString(6)
End
While
Et dans l'autre page, tu récupères les variables de session.
@ bientôt, Matt
Déjà à la vue de ta requête, tu commets une grossière erreur de sécurité en n'utilisant pas une requête paramétrée. Si tu mets ceci :
requete = "SELECT id ,site, nom,date as DATE,heure, compte_rendu, fichier_heb_entrant,
fichier_offre_entrant,fichier_xslt FROM table_offre WHERE id=" & lbl.Text()
tu prends le risque de subir des injections de code SQL. Il vaut mieux utiliser quelque chose du genre :
Dim sSQL AsString =
"SELECT InfoID FROM [dbo].[Infos] WHERE InfoID=@InfoID"
[...]
Dim
cmd As SqlCommand = New
SqlCommand(sSQL, conn)
With
cmd.Parameters
.Add(New SqlParameter("@InfoID"
, SqlDbType.Int))
EndWith
With
cmd
.Parameters("@InfoID").Value = CInt
(varID)
End
With
Ou encore mieux, une procédure stockée. Pour plus d'infos sur les requêtes paramétrées (comme ci-dessus), voir ici :
http://webman.developpez.com/articles/aspnet/sqlparameter/vbnet/
Dans ton While, tu mets un truc qui ressemble à ceci :
While
oReader.Read()
Session("offre_ID") = oReader.GetInt32(0)
Session("offre_Site") = oReader.GetString(1)
Session("offre_Nom") = oReader.GetString(2)
Session("offre_Date") = oReader.GetDate(3)
Session("offre_Heure") = oReader.GetString(4)
Session("offre_CR") = oReader.GetString(5)
Session("offre_FHE") = oReader.GetString(6)
End
While
Et dans l'autre page, tu récupères les variables de session.
@ bientôt, Matt
nicomilville
Messages postés
3472
Date d'inscription
lundi 16 juillet 2007
Statut
Membre
Dernière intervention
28 février 2014
36
4 sept. 2007 à 10:33
4 sept. 2007 à 10:33
Salut,
Dim requete
As
String
Dim
oReader
As
SqlDataReader
requete =
"select id ,site, nom,date as DATE,heure, compte_rendu, fichier_heb_entrant,"
& _
" fichier_offre_entrant,fichier_xslt from table_offre where id="
& lbl.Text()
oConnexion.Open()
oCommande.Connection = oConnexion
oCommande.CommandText = requete
oReader = oCommande.ExecuteReader
While
oReader.Read()
End
While
oConnexion.Close()
En fait dans ma boucle while je voudrai remplir des texbox que j'ai dans une autre page aspx(mettre le résultat de la requête dans un formulaire). Et je ne sais pas comment faire?
