Apostrophe dans un textareaRésolu

Question

Bonjour a tous,
Voila mon probleme, je voudrais pouvoir enregistrer dans ma bdd un textarea, jusqu'ici pas de soucis, jusqu'a ce que l'utilisateur passe un apostrophe dans son
texte.
J'ai fait des recherche sur le net et j'ai pu voir certaine astuce du genre replace ou de doubler les quotes. Mais concretement, je n'arrive pas a l'appliquer a mon code.
Je fait donc appel a vos lumieres pour m'aider un tit peu, voici le code en question:


<%
'*** Commentaires ***
Commentaires = Request.Form("Commentaires")


ValeursCommentaires = "'" & IDProjet &"','" & Commentaires & "'"



'Ouverture de la Base FormulaireSAV sur Nirvana
'et c&#233;ation du lien
Set BaseLink = Server.CreateObject("ADODB.Connection")
BaseLink.Open "FormulaireSAV", "", ""
'Cr&#233;ation du RecordSet
Set BaseSet = Server.CreateObject("ADODB.Recordset")
'Cr&#233;ation de la requ&#234;te
varsql = "insert into Commentaires(IDProjet,Commentaires) values (" & ValeursCommentaires & ")"
'Ex&#233;cution de la requ&#234;te
BaseSet.open varSql, BaseLink
'Fermeture de la Base
BaseLink.Close


Set BaseSet = Nothing
Set BaseLink = Nothing


%>
Le champs en question est commentaire!
Je d&#233;bute en Asp, donc si vous pouviez m'epargnier les termes trop technique ^^
Merci d'avance...

jesusonline · Accepted Answer

Bonjour, 

je te conseille aussi (et surtout) de te renseigner sur les attaques de type sql injection car la ton site n'est pas secure du tout !!! 

Pour pallier tout cela il faudrais mieux utiliser des proc&#233;dure stock&#233;es, l'utilisation de proc&#233;dure stock&#233; je connais pas en asp mais par contre c'est tr&#233;s simple en asp.net. Donc oublie asp 3 (qui est tr&#233;s tr&#233;s vieux !) et passe &#224; asp.net 2 voici un excellent point de d&#233;part : 

http://www.microsoft.com/france/msdn/aspnet/coach.mspx 

en plus en utilisant des proc&#233;dures stock&#233;es, les apostrophe et autres choses du genre ne vont plus t'embeter .... 

Dans ton cas il faudrais faire 

ValeursCommentaires = "'" & IDProjet &"','" & replace(Commentaires, "'", "''") & "'" 

Mais si je tape dans ton textarea 

toto'); drop table Commentaires 

oups je viens de supprimer ta table ... 

et on peut faire pire, ecrire une page sur le serveur par exemple et avoir un acc&#233;s total :)
http://www.evilznet.com/blog.aspx?ctl=ViewEntry&EntryID=31&mid=387

bref oublie cette solution est passe aux proc&#233;dures stock&#233;s ! 


<HR>
Cyril - MVS - MCP ASP

cs_azra · Answer

Bonjour,

Tout d'abord, ce n'est pas un probl&#232;me ASP mais un probl&#232;me SQL, les simples quotes fesant partis de la synthaxe du langage.
En C#/asp.net tu peux par exemple faire un ValeursCommentaires.Replace("'", "''");
Il te faut trouver un &#233;quivalent.


<HR>
Azra (Florent) - MVS - MCAD.NET

pakito_77 · Answer

D&#233;sol&#233;, comme je l'ai dis je suis d&#233;butant en programmation et je ne connais pas encore les subtilit&#233; et autre therme des differents langage,
J'ai bien vu sur ce site ou d'autre, l'exemple du replace, mais je n'arrive malheureusement pas a l'appliquer a mon code, c'est pourquoi je voulais savoir concretement par rapport a mon code qu'est ce que je devais faire?


Azra pour ton exemple, il faut que je le mette sur ma page contenant mon formulaire avec mon textarea ou sur ma page ou je recupere la valeur (cf code plus haut) ?
Merci pour ta reponse

cs_azra · Answer

Re Bonjour,

Il faut que tu fasses le replace avant d'inserer tes donn&#233;es en base: juste avant varsql = "insert into Commentaires(IDProjet,Commentaires) values (" & ValeursCommentaires & ")"

au niveau de "ValeursCommentaires " (donc par ex ValeursCommentaires.Replace(blabla). (une fois que cela fonctionnera, on parlera de s&#233;curit&#233; et d'injectionSQL).

Bon courage!


<HR>
Azra (Florent) - MVS - MCAD.NET

jesusonline · Answer

mdr, j'avais pas vu ton post azra :) 

Donc oui une fois que t'auras r&#233;ussit &#224; faire fonctionner ca, tu pourras mettre aux oubliettes cette solution ! (et j'insiste !!)


<HR>
Cyril - MVS - MCP ASP

pakito_77 · Answer

merci pour vos conseil, je n'avais meme pas song&#233; a ca, pour ce qui est de ce formulaire il n'y aucune crainte a avoir de cot&#233; la, puisqu'il est sur l'intranet de mon entreprise, et que seul les techniciens y auront acces.
Enfin je le saurais pour la prochaine fois, et eviterais de faire ca si je met en ligne une chose similaire.
 JesusOnline j'ai test&#233; ta solution et ca marche nikel, encore merci pour l'aide et pour les conseils ^^

jesusonline · Answer

m&#234;me pour un intranet ... il ne faut pas faire confiance aux utilisateurs ... imagine que dans la base tu stockes leur fiche de paye ... 

et puis c'est tellement plus simple de prendre les bonnes habitudes du d&#233;but ! 


<HR>
Cyril - MVS - MCP ASP

pakito_77 · Answer

Tu as raisons, jvais me renseigner sur l'asp.net 2 et les procedures stock&#233;s, disont que pour ce code je laisserais ainsi (c'est juste un formulaire qui etait autrefois sur papier et qui ne comporte aucune donn&#233;e personnelle ou d'importance)
mais je compte m'attaquer aux notes de frais sur le meme principe de formulaire, et je pense en effet qu'un peu plus de securit&#233; serait le bienvenue, vue les donn&#233;es trait&#233;es.
Encore une fois merci pour vos precieux conseils, et bonne continuation

cs_azra · Answer

Pour t&#233;l&#233;charger les versions gratuite de VS 2005 (dont web express pour ASP.NET 2.0): http://blogs.developpeur.org/nix/articles/TELECHARGER_VISUAL_STUDIO_2005_EXPRESS_FRANCAIS_GRATUIT.aspx


<HR>
Azra (Florent) - MVS - MCAD.NET

Apostrophe dans un textarea

9 réponses

Votre réponse

Discussions similaires