Zu schön wäre es, wenn jemand Parameter benutzen würde,
aber nocc toller wäre es, wenn endlich mal niemand mehr das QuoteStr für
SQL-Statements benutzen täte, denn dafür ist es nicht da und auch noch total falsch.
Delphi-Quellcode:
EdPfad.Text := '
E:\inPfad\';
SQL.Text := '
SELECT * FROM irgendwas WHERE sonstwas = ' + QuoteStr(EdPfad) + '
AND nochwas';
Es ist hier zwar schwerer ein DROP DATABASE ins Edit zu schreiben, aber zumindestens kann man ganz leicht das
SQL verrecken lassen (Syntaxfehler, mit nur einem einzigen \)
Einer unserer Kunden kam auf die geile Idee ' in Artikelnamen zu benutzen,
was besonders toll Endete, als diese Strings von Delphi durch Python, zurück in PascalScript und zu PSQL wanderte.
Teilweise mehrfaches Escaping mit unterschiedlichen Syntaxen (Pascal/Pythen/
SQL).
QuoteString kennt ausschließlich die Syntax von Pascal-Strings, also nur das '.