Probleme d'identification VISUAL STUDIO C#

Sujet résolu

27 mars 2020 à 23:58:13

Bonjour ,

je sollicite pour votre aide après avoir tester et chercher sur internet. je voudrai faire une petit interface pour tester le system login

Execution se passe normal et application demarre, mais quand je saisi un utilisateur et je clique sur Login un probleme s'affiche :

merci de votre aide

-
Edité par Hicham_Aia 29 mars 2020 à 13:45:49

The wings of Technology

bacelar

30 mars 2020 à 10:06:40

"Table" est vraisemblablement un mot réservé, donc à escaper en utilisant les règle de votre SGBDR, ici SQL Server, donc un truc comme "[Table]".

Pensez à utiliser des requêtes paramétrées pour la fiabilité et ne pas avoir d'attaque par SQL Injection.

Je recherche un CDI/CDD/mission freelance comme Architecte Logiciel/ Expert Technique sur technologies Microsoft.

Hicham_Aia

30 mars 2020 à 13:18:38

bacelar a écrit:

"Table" est vraisemblablement un mot réservé, donc à escaper en utilisant les règle de votre SGBDR, ici SQL Server, donc un truc comme "[Table]".

Pensez à utiliser des requêtes paramétrées pour la fiabilité et ne pas avoir d'attaque par SQL Injection.

Merci de votre réponse, ça marche bien.

Une question svp : qu'est ce que vous voulez dire avec des requêtes paramétrés ( exemple si possible merci ).

Merci

The wings of Technology

bacelar

30 mars 2020 à 13:24:07

Google est ton ami:

https://visualstudiomagazine.com/articles/2017/07/01/parameterized-queries.aspx

Je recherche un CDI/CDD/mission freelance comme Architecte Logiciel/ Expert Technique sur technologies Microsoft.

Hicham_Aia

30 mars 2020 à 13:54:02

Super c'est bien compris : je poste un exemple des requêtes paramétrés ci-dessous avant de clôturer se sujet pour les gens au futur qui cherche à comprendre aussi, ou qu'il vont rencontrer les même problème :

using (SqlConnection conn = new SqlConnection(connectionString))
{
    //Préparation des paramètres
    SqlParameter paramID = new SqlParameter("@id", SqlDbType.Int);
    paramID.Value = 10;
    SqlParameter paramText = new SqlParameter("@text", SqlDbType.VarChar,50);
    paramText.Value = "Ceci est un test";
    SqlParameter paramDate = new SqlParameter("@date", SqlDbType.DateTime);
    paramDate.Value = DateTime.Now;
    SqlParameter paramFloat = new SqlParameter("@float", SqlDbType.Float);
    paramFloat.Value = 12.2;

    //Préparation de la commande
    String sql = string.Format("INSERT INTO TableTest(Id, Text, DateAndTime, FloatNumber) VALUES({0},{1},{2},{3})",
    paramID.ParameterName, paramText.ParameterName,
    paramDate.ParameterName, paramFloat.ParameterName);
    SqlCommand cmd = new SqlCommand(sql.ToString(), conn);

    //Ajout des paramètre à la commande
    cmd.Parameters.Add(paramID);
    cmd.Parameters.Add(paramText);
    cmd.Parameters.Add(paramDate);
    cmd.Parameters.Add(paramFloat);

    //Ouverture de la connection et exécution de la commande
    conn.Open();
    cmd.ExecuteNonQuery();
}

Merci

The wings of Technology