Asp .Net et Sql serveur Insertion d'une apostrophe

CGSI Messages postés 9 Date d'inscription mardi 24 octobre 2006 Statut Membre Dernière intervention 17 mars 2009 - 24 nov. 2006 à 20:56
cs_Nurgle Messages postés 1642 Date d'inscription samedi 6 novembre 2004 Statut Membre Dernière intervention 28 avril 2011 - 24 nov. 2006 à 23:31
Bonjour à tous
Alors voilà le petit problémes que je rencontre.
Je développe en ASP .Net avec le framework 2.0 sur W2K3 et VB
J'ai une pages de mon site dans laquelle il y as une TextBox destiné à renseigner des informations complémentaires (En gros du text avec toute sa ponctuation...).
Lorsque mon utilisateurs valide l'ensemble du formulaire et cette TextBox, aprés divers controle il fait un update d'une table dans SQL avec les différentes informations renseigner dans le formulaire.
Tout cela fonctionne trés bien....
Sauf quand l'utilisateurs met le signe de ponctuation " ' "  (Apostrophe et non guimmet) la, ma requéte SQL permétant l'update de la table par en vrie car le code se transforme en remarque au Niveau VB.
Il me faut donc trouver un moyen de transformer la chaine de text entrée par l'utilisateur en une chaine prenant en compte les " ' ", qui ne se tranforme pas en remarque dans VB.
J'éspére avoir été assez claire.
Si quelqu'un à une idée, je vous remercie de votre aide.

2 réponses

jesusonline Messages postés 6814 Date d'inscription dimanche 15 décembre 2002 Statut Membre Dernière intervention 13 octobre 2010 29
24 nov. 2006 à 22:35
Bonjour, il faut impérativement utiliser les procédures stockées plutot que générer la requête comme tu le fais pour des causes evidentes de sécurité ...
cmd.SqlCommand "UPDATe Table set truc @chose where machin = @bidule";

cmd.parameters.add("@chose", "toto'truc")
cmd.parameters.add("@bidule", "machinchose")

Tu trouveras pleins d'infos la dessus sur le forum et sur google

<hr />Cyril - MVS - MCP
0
cs_Nurgle Messages postés 1642 Date d'inscription samedi 6 novembre 2004 Statut Membre Dernière intervention 28 avril 2011 5
24 nov. 2006 à 23:31
Salut,
Et en prime, le lien qui va bien qui explique pourquoi et comment utiliser les Parameters  :
http://webman.developpez.com/articles/aspnet/sqlparameter/vbnet/

A++

<hr width="100%" size="2" />Nurgle(Antoine)
0
Rejoignez-nous