Problème : Variables avec apostrophe et commande SQL INSERTRésolu

Question

Bonjour &#224; tous, petite solicitation ...

1. Ce code fonctionne :

SqlConnection conn = new ...;
string xlvar = "La France";
xlSelect = "INSERT INTO product (IDCountry, NameCountry) VALUES (33,' "+xlvar+" ' ) ";
SqlCommand cmd= new SqlCommand(xlSelect, conn);
...

2. Celui-l&#224; non :

SqlConnection conn = new ...;
string xlvar = "L'Irlande";
xlSelect = "INSERT INTO product (IDCountry, NameCountry) VALUES (58,' "+xlvar+" ' ) ";
SqlCommand cmd= new SqlCommand(xlSelect, conn);
...

Je vois bien que c'est le caract&#232;re apostrophe qui modifie les cha&#238;nes mais je ne connais pas la solution pour sortir de l&#224;.

Merci pour votre aide.

cs_coq · Accepted Answer

Sans parler de l'int&#233;r&#234;t que &#231;a repr&#233;sente au niveau s&#233;curit&#233;.

/*
coq
MVP Visual C#
*/

cs_coq · Answer

Salut, 

C'est pour &#231;a qu'on utilise les SqlParameter au lieu de ces horribles concat&#233;nations. :-)

/*
coq
MVP Visual C#
*/

zanzime · Answer

Merci beaucoup Coq ! On voit bien mon c&#244;t&#233; d&#233;butant et amateur.
Car j'ai commenc&#233; &#224; utiliser les SQLParameters dans les commandes SELECT mais &#231;a ne m'a pas effleur&#233; dans les commandes UPDATE ou INSERT.
G&#233;nial, je vais pouvoir donc bien avancer. Merci au site. Merci aussi Coq pour le lien inh&#233;rent &#224; la s&#233;curit&#233;.
Bon week-end &#224; toi !

cs_coq · Answer

Merci, bon week-end &#224; toi aussi :-)

/*
coq
MVP Visual C#
*/

Problème : Variables avec apostrophe et commande SQL INSERT

4 réponses

Votre réponse