Echappement

Question

Salut à tous,

J'ai un petit souci. J'ai un winform qui rempli une BD MySQL. Le problème c'est que si l'utilisateur saisi un ' ou " tout fout le camp...
Quelqu'un aurait il une idée sur la facon optimale d'échapper ces caractères (et tout les autres qui pourraient flinguer mes requètes)

Merci

gcorbineau · Answer

tu peux essayer de d'ajouter le caractere \ avant chaque ' et pour " tu fait \'\'

sebmafate · Answer

mouaip... le mieux est de laisser faire l'objet DbCommand... en utilisant des paramètres.

genre : select * from maTable where monChamp = @valeur

et tu auras : dcCmd.Parameters["@valeur"].DefaultValue = "ma chaine de caractères avec des ' et des "... facile non ?";

Sébastien FERRAND (
blog)
Consultant Indépendant
[Microsoft MVP Visual C#]

cs_coq · Answer

Salut, 

+1 pour l'utilisation des requêtes paramétrées !

Avec un ? au lieu du @ pour le nom du paramètre pour MySQL :-)

/*
coq
MVP Visual C#
*/

cs_tatanne · Answer

Merci pour toutes ces réponses. J'aurai effectivement du utiliser les requetes parametrées mais j'ai eu la fleme de tout refaire (ce sera pour la prochaine fois ).

J'ai trouvé mon bonheur dans la fonction HttpUtility.HtmlEncode mais merci encore.

a+

Echappement

4 réponses

Votre réponse

Discussions similaires