CodeS-SourceS est hébergé par Frontier.fr

Cliquez ici pour mettre ce site au démarrage de votre navigateur

AccueilCodesTutorielsForumsEmploiLivresGuide achatConnexion

begin process at 2009 07 04 17:13:58

[PERSO] DéCOUVERTES ESTIVALES : LINUX (PART I) par FREMYCOMPANY

[REFACTORING] RESHARPER POUR VISUAL STUDIO 2010 (PREVIEW) par tja

[REFACTORING] ANALYSER VOS EXCEPTIONS AVEC RESHARPER EXCEPTIONAL par tja

SHAREPOINT 2007 : PATTERNS & PRACTICES SHAREPOINT GUIDANCE par phil

[VISUAL STUDIO 2010] LES TESTS CASES C'EST BIEN, MAIS JE VAIS DEVOIR TOUT RééCRIRE ? par Etienne Margraff

RE : UN CONSTRUCTEUR APPELLE UN AUTRE CONSTRUCTEUR DE LA MêME CLASS... par Robert33

MIGRATION BASE DE DONNéES par abouselma

RE : UN CONSTRUCTEUR APPELLE UN AUTRE CONSTRUCTEUR DE LA MêME CLASS... par casy

RE : UN CONSTRUCTEUR APPELLE UN AUTRE CONSTRUCTEUR DE LA MêME CLASS... par spilz

RE : UN CONSTRUCTEUR APPELLE UN AUTRE CONSTRUCTEUR DE LA MêME CLASS... par casy

+ de logiciels à télécharger

1 464 300 membres
203 nouveaux aujourd'hui
15 045 membres club

Trouver une ressource

Trouvez une ressource parmi 40 094 codes, 1 302 840 messages d'aide etc...

Recherche: dans [ Dernières recherches ]

Filtre:Tous les codes.NET uniquementExclure .NET

Vous ne trouvez pas de réponse à votre problème ? Alors posez la question dans le forum. Souvenez-vous qu'il n'y a jamais de question bête, mais rester dans l'ignorance parce que l'on n'ose pas poser une question, ça c'est une erreur !

UTILISATION DES REQUÊTES PARAMÉTRÉES AVEC ADO.NET 2.0

Information sur le tutorial

Catégorie :Base de données

Date de création : 02/07/2007 14:59:06 Vu : 6 432 fois

Auteur : sebmafate

Ecrire un message privé

Note :
Aucune note

Commentaire sur cette source (6)

Ajouter un commentaire et/ou une note

Description

Alors que beaucoup de développeurs s'embêtent avec la localisation(symbole décimal, format de la date...) et les problèmes d'injection SQL... d'autres utilisent les requêtes paramétrées... voici un très court tutoriel sur leur utilisation.

Tutorial

ADO.net : Les requêtes paramétrées

En informatique de gestion, nous sommes souvent amenés à interroger des bases de données. Malheureusement, dans les environnements multi-linguales l’utilisation des dates et décimaux peut vite devenir fastidieuse. Nous allons voir comment les requêtes paramétrées peuvent nous simplifier la vie.

Mauvaise habitude !

De nombreux développeurs ont pris de très mauvaises habitudes lorsqu’il s’agit d’interroger les bases de données… Parmi elles, on retrouve la manière de passer les paramètres. On trouve trop souvent des codes ressemblant à ça : (voir plus complexe)

string sql = "SELECT * FROM utilisateurs WHERE age<=" + age.ToString();

Dans un environnement simple, ce code n’aura pas de mal à fonctionner mais dès que vous allez vouloir porter votre application sur une machine dont la langue diffère de la votre ou sur une autre base de données… vous risquez d’avoir quelques soucis.

Pour pallier à ce problème, il existe dans le framework une classe nommée DbParameter permettant de simplifier et surtout de sécuriser le passage de paramètres.

Utilisation de DbParameter

L’utilisation de la classe DbParameter est très simple… mais nécessite d’écrire quelques lignes de plus… ce qui rebute la plupart du temps les moins courageux d’entres nous. Nous verrons plus loin qu’il y a pourtant beaucoup d’avantages à l’utiliser.

Nous pouvons donc modifier la requête précédente en :

string sql = "SELECT * FROM utilisateurs WHERE age<=@age";
DbParameter param = cmd.CreateParameter();
param.ParameterName = "@age";
param.DbType = DbType.Int32;
param.Value = age;

cmd.Parameters.Add(param);

où cmd représente une instance de la classe DbCommand.

Avantages

On voit très clairement dans l’exemple ci-dessus que nous ne nous sommes pas souciés de la localisation… à aucun moment nous vérifions si le séparateur de décimal est le point ou la virgule… Non ! Tout cela est automatique !

Ceci fonctionne aussi pour les dates. Pas besoin de vérifier le format…

Autre point positif… avec les requêtes paramétrées, il n’est pas possible de faire de l’injection SQL.

Commentaires

Commentaire de moumouche_a le 13/12/2007 18:34:04

merci pour votre astu

Commentaire de amdevelop le 26/01/2008 16:35:28

Merci pour le code, il sera mieux si vous l'avez ecrit dés le début (déclaration du cmd)

Commentaire de The Red Man le 01/02/2008 17:42:39

A quel moment utilise tu la variable sql ??

Commentaire de meliubaf le 21/05/2008 17:02:34

bon tutorial, mais malheureusement avec Sybase et ses dll que j'ajoute au GAC je ne m'en sors pas. La ligne de commande SQL fonctionne mais si je veux passer des paramètres, pas moyen...

Commentaire de TiboAppert le 10/06/2009 15:45:56

Cela ne fonctionne qu'avec le provider SqlClient (avec les paramètres sous la forme @Parametre). J'aimerais le faire avec du OleDb et cela ne fonctionne pas. OleDb utilise ? dans les requêtes pour les remplacer par les valeurs des paramètres...

Si quelqu'un a une solution, je suis preneur!!! ;)

Commentaire de nhervagault le 23/06/2009 23:01:19 administrateur CS

Avec access c'est

string SqlString = "Insert Into Contacts (FirstName, LastName) Values (?,?)";
using (OleDbConnection conn = new OleDbConnection(ConnString))
{
  using (OleDbCommand cmd = new OleDbCommand(SqlString, conn))
  {
    cmd.CommandType = CommandType.Text;
    cmd.Parameters.AddWithValue("FirstName", txtFirstName.Text);
    cmd.Parameters.AddWithValue("LastName", txtLastName.Text);
    conn.Open();
    cmd.ExecuteNonQuery();
  }
}