Einzelnen Beitrag anzeigen

Blup

Registriert seit: 7. Aug 2008
Ort: Brandenburg
1.477 Beiträge
 
Delphi 12 Athens
 
#12

AW: Seltsamer Fehler bzgl. Parameterobjekt

  Alt 8. Mai 2014, 09:50
Das einzige was an dem Statement variabel ist ist der Name der angeforderten Seite. In Delphi sieht die Stelle so as:

Code:
Webtexte.SQL.Add('or Seite = ');
Webtexte.SQL.Add(QuotedStr(GetPagename(RequestedPage)));
Die GetPagename-Funktion liefert nur definierte Namen zurück, so dass ich mich nicht um SQL-Injektion o.ä. sorgen musste und keine Parameter benutze!
Wie man sieht enthält auch die Where-Klausel keinen Vergleich mit einem Text der einen Doppelpunkt enthält.
Gerade das sieht man eben nicht, definierte Namen könnten auch Doppelpunkte enthalten.
SQL-Injektion ist eben nur ein (seltener) Grund und warum mit Parametern gearbeitet wird.
Auf jeden Fall kann man mit Parametern diese Fehlerquelle erst einmal ausschließen.

Wenn konkret ein bestimmter Datensatz auf Grundlage der ID benötigt wird, bietet es sich doch an, einfach nur diesen Datensatz mit einer zusätzlichen Abfrage zu holen.
Ein Problem mit Zeilenumbrüchen ist mir nicht bekannt, es spricht aber auch nichts dagegen die einzelnen Bedingungen zu klammern, ist für mich lesbarer.

Auf jeden Fall hilft es nicht alle Vorschläge wegzudiskutieren, ausprobieren bringt dich weiter.
  Mit Zitat antworten Zitat