Solucion para a las dobles comillas o tildes

[LeandroA]

Hola, supongo que es un tema ya discutido, pero ahora me toca preguntarlo, cual creen que se la mejor forma de solucionar el problemas con las dobles comillas o tildes, cuando uno arma la consulta SQL puede utilizar las " o ' pero bien si el dato a ingresar tienen uno de estos caracteres te arruina la consulta, entonces como tratan estos errores ustedes?. remplazan algunos de estos por algún carácter especial?

[Jeronimo]

Hola, Leandro.
Seguramente no te aporte nada con mi comentario, pero lo dejo igualmente.
Para mí la mejor manera es como sugerís, porque "escapando" las comillas no sé si puede traer problemas al cambiar de base de datos (no sé si todas tratan igual ese procedimiento). Por eso creo que cambiar las comillas dobles y las simples por caracteres especiales sería la mejor solución que se me ocurre. De todas maneras yo directamente impido que el usuario ingrese estos caracteres: * ' " / (lo filtro en el evento Keypress de la caja de texto). Aunque uso este procedimiento para el ingreso de nombres y apellidos, no es del todo de mi agrado porque hay algunos apellidos que pueden contener comillas simples. Pero ya tenía el código hecho así cuando lo advertí, así que no lo cambié de vago nomás.
Seguramente los que saben te sugerirán caminos más apropiados.
Saludos.

Jerónimo

[Waldo]

Claro, depende del motor de base de datos.
Yo particularmente trabajo con SQL Server, me ha pasado que dentro del algun valor venga una comilla, o alguna coma (delimitador de campo, o parametro de un SP)  y "rompan" la sintax SQL.
Lo que hago dentro del VB es reemplazar los caracteres con un REPLACE, justo antes de ejecutar las instruccion SQL,
por ej las ' o '' las reemplazo por un ´ es como un acento.

sSQL = REPLACE(sSQL, "'" , "`")

[raul338]

En realidad no se debería permitir ese tipo de caracteres en campos simples (nombres, etc) pero una forma de hacerlo bien y sin reinventar la rueda es utilizar procedimientos por parámetros:

Código: (SQL) [Seleccionar]

SELECT nombre, apellido, descripcion FROM personas WHERE descripcion LIKE @paramDescripcion
y luego desde donde lo llames (ado, php con extension mysqli, etc) le pasas algo similar

Código: [Seleccionar]

comando.parametros.add("@paramDescripcion", txtBusqueda.text)
y listo, el mismo motor de la BD se encarga de escaparlo y como debería estar probado no tendrías mucho drama ni consecuencias raras al probarlo

Nota: Tanto la conexión, como los strings que pasas (utf desde vb) como la base de datos deben tener la misma codificación sino vas a tener símbolos raros al leer/guardar valores... Asegura eso y no tendrás problemas en nada

[Waldo]

Muy bueno Raul! Es verdad lo que comentas de usar un Command desde VB para ejecutar y pasar parámetros. Pero yo por vago  , me da fiaca escribir el codigo de agregar cada parametro al command, armo un string concatenando todo y desp pasan estas cosas

[LeandroA]

Hola chicos gracias por las respuestas, lo que explico Raul la verdad no lo entendi, por el momento opte hacer un simple remplece con un caracter especial

Código: [Seleccionar]

Replace$(Word, Chr$(39), Chr$(1))
y luego hago la inversa, no me parece una buena solución ya que si tuviera que mostrar muchos datos de una gran consulta al restaurar todas las " podría consumir algo de tiempo, pero bueno sale con fritas

[Waldo]

Hola Leandro, si reemplazas por el chr(96) ` o el chr(180) ´, creo que no tendrias que volver a reemplazar para mostrarlo, se visualizan "casi" como una comilla.

Lo que explica Raul es ejecutar las intrucciones usando un ADODB.COMMAND.
A un COMMAND le podes decir que tipo de intruccion va a ejecutar (Texto, storeprocedure ... ) y si es un storeprocedure que lleva parámetros, podes declarar estos parametros en el COMMAND, indicando que tipo de parametro es (numerico, texto, etc) y.... hasta podes declarar un parametro como OUT, para recibir el valor return de un storeprocedure.

Segun Raul esta forma es la correcta, ya que el motor recibe cada parametro como corresponde y no se "cortaria" la instruccion si tuviese una coma en el medio.

[E N T E R]

Tendrian un ejemplo de como utilizar lo que comenta Raul yo siempre tuve tambien ese problema.

Yo solucionaba con esto del Replace tambien asi:

Código: (VB) [Seleccionar]

Public Function Reemplazar(ByVal StrCad As String) As String
    'CARACTERES NO ADMITIDOS POR WINDOWS =   \/:*?"<>|
    StrCad = Replace(StrCad, "\", "-")
    StrCad = Replace(StrCad, "/", "-")
    StrCad = Replace(StrCad, ":", "-")
    StrCad = Replace(StrCad, "*", "-")
    StrCad = Replace(StrCad, "<", "-")
    StrCad = Replace(StrCad, ">", "-")
    StrCad = Replace(StrCad, "|", "-")
    StrCad = Replace(StrCad, " ", "-")
    StrCad = Replace(StrCad, """", "-")
    Reemplazar = StrCad
End Function


[Waldo]

Hola copio una parte de codigo que tenia por ahi....
Fijense en CommandText se indica el sp que va a ejecutar,
 CommandType indica que es un SP,
luego se crean los parametros, cada parametro lleva el nombre del parametro, el tipo de dato,  si corresponde su longitud y por ultimo el valor del parametro.
Luego se ejecuta con Execute

Código: (VB) [Seleccionar]

       Set adoCmd = New ADODB.Command
        With adoCmd
            .ActiveConnection = modSQL_Cnn.cnn
            .CommandText = "update_zona_by_suc"
            .CommandType = adCmdStoredProc
           
            .Parameters.Append .CreateParameter("@Id_Suc", adInteger, adParamInput, , lId_Suc_Destino)
            .Parameters.Append .CreateParameter("@NumZona", adTinyInt, adParamInput, , xZona)
            .Parameters.Append .CreateParameter("@ZonaDesc", adVarChar, adParamInput, 50, rsTemp("ZonaDesc"))
            .Parameters.Append .CreateParameter("@Habilitada", adBoolean, adParamInput, , rsTemp("Habilitada"))
           
            .Execute iRec
           
        End With


[raul338]

Esta lindo el código que tiro Waldo, aunque hay algo que quiero aclarar: No hace falta crear un procedimiento almacenado. Basta con poner la consulta como la que puse (así tal cual o como la que iría dentro del stored procedure).
Si creas un stored procedure ganas en rendimiento (porque la consulta ya esta precompilada) pero si la mandas en texto es lo mismo en terminos de "seguridad"

Ej

Código: (VB) [Seleccionar]

Set adoCmd = New ADODB.Command
With adoCmd
    .ActiveConnection = modSQL_Cnn.cnn
    .CommandText = "SELECT nombre, apellido, descripcion FROM personas WHERE nombre LIKE '%@nombre%'"
    .CommandType = adCmdText
   
    .Parameters.Append .CreateParameter("@nombre", adVarChar, adParamInput, 50, txtNombre.Text)
    .Execute iRec
End With

Ojo: Creo que Access es el único que no permite esto... pero no estoy seguro... Si permite llamadas a procedimientos almacenados con parametros

[Waldo]

Ah..mira vos, no sabia que se podia poner directamente un SELECT con parametros.
Lo que me molesta un poco, es tener que escribir todo ese rollo para cada consulta, me gustaria armar una rutinita para poder reutilizarla, pero no se me ocurre como standarizar el pase de los parametros, ya que son variables, y pueden ser de diferente tipo cada parametro.
Habia pensado pasar como parametro un Array o Coleccion de parametros. O tal vez lo mejor seria declarar el parametro de la rutina diractemente como objeto adodb.parameters, no se,  habria que estudiarlo un poco 

[Waldo]

Bueno, como no me queria quedar con la duda, probé de ejecutar un procedimiento, pasando un parametro varchar, conteniendo comillas simples y dobles, comas, etc
1er caso: Directamente con el connection.execute

    cnn.Execute "EXEC [sysLog_ADD] @Origen=1, @Tipo_Ev=1, @Descripcion='Hola '1234,456;789'""ABC"""

Resultado:
Error! sintaxis incorrecta cerca de 1234


2do caso: usando el command (como dice Raul) creando un parametro varchar, y pasando dentro del parametro el contenido con comillas.

 

Código: (VB) [Seleccionar]

   Dim cmd As ADODB.Command
   
    Set cmd = New ADODB.Command
    cmd.ActiveConnection = cnn
    cmd.CommandType = adCmdStoredProc
    cmd.CommandText = "sysLog_ADD"
    cmd.Parameters.Append cmd.CreateParameter("@Origen", adSmallInt, adParamInput, , 1)
    cmd.Parameters.Append cmd.CreateParameter("@Tipo_Ev", adSmallInt, adParamInput, , 1)
    cmd.Parameters.Append cmd.CreateParameter("@Descripcion", adVarChar, adParamInput, 50, "Hola '1234,456;789'""ABC""")
    cmd.Execute
Resultado: INSERT OK

Conclusion: despues de años de usar Ado y VB, me doy cuenta que siempre falta aprender algo 

[LeandroA]

Hola la verdad muy lindo todo pero no se de que me hablan 
yo lo único que conozco es esta forma de insertar datos

Código: [Seleccionar]

sSQL = "INSERT INTO TitulosEnCola (Nombre, Interprete, Genero, Duracion, IdTerminal, IdCategoria, PathDeOrigen) VALUES " & _
    "('" & RW(sTitulo) & "','" & RW(sInterprete) & "','" & RW(sGenero) & "','" & nDuracion & "','" & CboTerminales.ItemData(CboTerminales.ListIndex) & "','" & CboCategorias.ItemData(CboCategorias.ListIndex) & "','" & RW(sFileName) & "')"

    cnnBD1.Execute sSQL, , adCmdText

donde

Código: [Seleccionar]

Public Function RW(Word As String) As String
    RW = Replace$(Word, Chr$(39), Chr$(1))
End Function

Public Function UW(Word As String) As String
    UW = Replace$(Word, Chr$(1), Chr$(39))
End Function

utlizo Access y Adob

[SKL]

Hola la verdad muy lindo todo pero no se de que me hablan 
yo lo único que conozco es esta forma de insertar datos

Código: [Seleccionar]

sSQL = "INSERT INTO TitulosEnCola (Nombre, Interprete, Genero, Duracion, IdTerminal, IdCategoria, PathDeOrigen) VALUES " & _
    "('" & RW(sTitulo) & "','" & RW(sInterprete) & "','" & RW(sGenero) & "','" & nDuracion & "','" & CboTerminales.ItemData(CboTerminales.ListIndex) & "','" & CboCategorias.ItemData(CboCategorias.ListIndex) & "','" & RW(sFileName) & "')"

    cnnBD1.Execute sSQL, , adCmdText

donde

Código: [Seleccionar]

Public Function RW(Word As String) As String
    RW = Replace$(Word, Chr$(39), Chr$(1))
End Function

Public Function UW(Word As String) As String
    UW = Replace$(Word, Chr$(1), Chr$(39))
End Function

utlizo Access y Adob

Para que reemplazas??? no hace falta... los Textos van con comilla simple, los numeros sin nada y las fechas con HASH #.... yo no reemplazo nada, le mando fruta asi nomas exactamente de la misma manera que vos... sacale la funcion de RW a todos y vas a ver que funciona igual... a menos que el string ya contenta comillas desde antes.... igual no tendria sentido

[Waldo]

Para que reemplazas??? no hace falta... los Textos van con comilla simple, los numeros sin nada y las fechas con HASH #.... yo no reemplazo nada, le mando fruta asi nomas exactamente de la misma manera que vos... sacale la funcion de RW a todos y vas a ver que funciona igual... a menos que el string ya contenta comillas desde antes.... igual no tendria sentido

Fijate que pasa si uno de los datos string contiene una coma... el motor va a pensar que esa coma es la separacion de un campo y te va a dar error