Hallöle...
[
OT]
Delphi-Quellcode:
try
dummy := StrToInt(edt_SearchEdit.Text); //prüfen ob artikelnummer eingegeben wurde, sonst except ausführen
Q_sArtikel.Close;
Q_sArtikel.SQL.Text := 'select * from Artikel where ArtNr like '+ QuotedStr(edt_SearchEdit.Text+'%')
Q_sArtikel.Open;
except
on E: EConvertError do ShowMessage('Keine gültige Artikelnummer';
end;
'select * from Artikel where ArtNr like '+ QuotedStr(edt_SearchEdit.Text+'%')
bietet
SQL Injection einen perfekten Spielplatz.
https://de.wikipedia.org/wiki/SQL-Injection
Immer mit Parametern arbeiten.
Delphi-Quellcode:
try
dummy := StrToInt(edt_SearchEdit.Text); //prüfen ob artikelnummer eingegeben wurde, sonst except ausführen
Q_sArtikel.Close;
Q_sArtikel.SQL.Text := 'select * from Artikel where ArtNr like :ANN';
Q_sArtikel.ParamByName('ANN').AsString := QuotedStr(edt_SearchEdit.Text+'%');
Q_sArtikel.Open;
except
on E: EConvertError do ShowMessage('Keine gültige Artikelnummer';
end;
[/
OT]
