bouahmedg
Messages postés38Date d'inscriptionlundi 2 octobre 2006StatutMembreDernière intervention 2 novembre 2006
-
20 oct. 2006 à 13:06
MorpionMx
Messages postés3466Date d'inscriptionlundi 16 octobre 2000StatutMembreDernière intervention30 octobre 2008
-
20 oct. 2006 à 17:07
salut,
je veux enregistrer le contenu d'une zone texte dans la base , cette zone contient une apostrophe (exemple : aujourd'hui) ,or pour l'insertion j'utilise '"+nomClasee.attribut+"' et pour cette taison qu'un erreur se produit!
Comment l'empecher!
MorpionMx
Messages postés3466Date d'inscriptionlundi 16 octobre 2000StatutMembreDernière intervention30 octobre 200857 20 oct. 2006 à 13:21
Salut
Utilises une requete paramétrée plutot qu'une concaténation pour la contruire. Deja ton probleme n'existera plus.
Et cela peut t'eviter quelques problemes de sécurité (injections sql).
Moomoon07
Messages postés223Date d'inscriptionmercredi 31 mai 2006StatutMembreDernière intervention 5 mai 2014 20 oct. 2006 à 15:29
Salut !
Moi je voudrais bien un petit exemple de requête paramétrée, parce que beaucoup de monde en parle de ce pb de sécurité, mais je ne vois pas comment faire ...
(Traduit nous celle ci par exemple, et une petite "INSERT" ou "UPDATE")
public
DataRow getRowMagasin(
String NumMag)
{
OleDbConnection myConnection =
new
OleDbConnection(cString);
OleDbDataAdapter Adapter1 =
new
OleDbDataAdapter();
Adapter1.TableMappings.Add(
"Table",
"MAGASIN");
ConnecterBDD(myConnection);
OleDbCommand Command1;
Command1 =
new
OleDbCommand(
"SELECT * FROM MAGASIN WHERE NumMag='" +
NumMag +
"'");
Command1.Connection = myConnection;
Command1.CommandType =
CommandType.Text;
Adapter1.SelectCommand = Command1;
DataSet ds =
new
DataSet(
"MAGASIN");
Adapter1.Fill(ds);
myConnection.Close();
Moomoon07
Messages postés223Date d'inscriptionmercredi 31 mai 2006StatutMembreDernière intervention 5 mai 2014 20 oct. 2006 à 16:10
OK je comprends mieux.
Je ne connaissais pas l'existence de cette classe.
C'est vrai que c'est plus simple.
Merci
Pour ce que vous appelez l'injection SQL, c'est dans le cas ou un utilisateur saisirait dans une textbox une requete sql à la place d'une valeur (avec des ";" pour séparer les requêtes) ?
MMN
Vous n’avez pas trouvé la réponse que vous recherchez ?