..., 'ligne d''horizon', ...
Si le contenu du champ comporte des ' à l'intérieur, il faut les doubler afin qu'ils n'interfèrent pas avec la syntaxe SQL, exemple
Using commande As New SqlCommand("INSERT INTO maTable (champ1, champ2) " & _ "VALUES (@champ1, @champ2)", connection) commande.Parameters.Add("@champ1", SqlDbType.Int).Value = 10 commande.Parameters.Add("@champ2", SqlDbType.VarChar).Value = "Hello" Dim reader As SqlDataReader = commande.ExecuteReader() End Using
sql = "SELECT * " _ & "FROM toto " & "WHERE monChampText = '" & textBox1.Text & "'"
"';DELETE FROM toto;shutdown;--"
sql = "SELECT * " _ & "FROM toto " & "WHERE monChampText = '';DELETE FROM toto;shutdown;--'"
...et enfin (la plus importante), éviter les attaques par injection de code.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre questionOui de même qu'en ASP.Net (mais cette sécurité vérifie le contenu des contrôles durant l'allé/retour), ce qui permet d'employer n'importe quelle méthode pour la gestion des données.