@TKanne: Wenn Du das so auch mit Strings machst, dann ist das eine Einladung zu
SQL-Injection. Verwende Parameter, wie Lemmy das gezeigt hat.
Hi zusammen,
Ich verwende für die Selection von Zeichen den Befehl:
SQL.Add('Select * from Artikel WHERE upper(A_BEZ) LIKE "%'+uppercase(such)+'%"');
...
Gruß beanbear
So, und deinem 'such' verpasse ich jetzt den Text
";DROP TABLE Artikel;--
und schon ist deine Tabelle nicht mehr da. Oder -auch lustig- (je nach RDBMS)
";sp_Shell('Format d:');--
und deine D-Platte ist sauber.
Nie nie niemals nicht ohne Parameter arbeiten!