INSERT kann mit einem Open ausgeführt werden?

**dust258**

Ich arbeite an einem kleinen Modul für meine Applikation, die es dem User erlauben soll, kleine SQL-Statements (nur SELECT) zu schreiben um sich eigene Auswertungen anzeigen zu lassen.

Nach dem TQuery.Open werden die Ergebnisse dann in einem TDBGrid angezeigt. Das Problem ist, das der User einfach Insert oder Update-Befehle eigeben kann, und so die Daten manipuliert.

Nachdem z.B. ein INSERT-Statement mit open ausgefüht wurde, wird wie zu erwarten eine Exception ausgefüht (Keine Daten in der Datenbank).
Aber mit dem nächsten ExecSQL (welches ich im OnClose des Formulars aufrufe), wird das zuvor fehlerhaft ausgeführte SQL-Statement ausgeführt. (und die Daten in die Datenbank eingetragen).

Bei meinen Direkt-Komponenten (DevArt) hat mir folgende Lösung geholfen:

markieren

Delphi-Quellcode:

			  try

    query.Open;

  except

    on e : Exception do

    begin

      query.Transaction.Rollback;

      MessageDLG(e.Message,mtError,[mbOK],0);

    end;

  end;

In der TQuery gibt es den Punkt Transaction aber nicht. Kennt Jemand von euch vielleicht das Problem?

Variante 1: Erstelle Views und lasse dem User nur auf diese zugreifen.

Variante 2: überprüfe vor dem Open den vom User zusammengestellten SQL-Syntax auf das Vorhandensein von alter, insert, update und verhindere die Ausführung wenn einer dieser Begriffe vorkommt.

**DeddyH**

Zu Variante 2: wieso nicht einfach nur SELECT als erstes Wort zulassen? Ansonsten müsste man auf jedes Wort achten, das zur Manipulation dient (CREATE und DROP fehlen in Deiner Auflistung z.B.)

Zitat von DeddyH:

Zu Variante 2: wieso nicht einfach nur SELECT als erstes Wort zulassen?

weil ich viel zu weit gedacht habe (gleichzeitiges vorkommen von select und insert in einer Abfrage) und das Einfachste mir nicht in den Sinn gekommen ist.

Zitat von DeddyH:

Ansonsten müsste man auf jedes Wort achten, das zur Manipulation dient (CREATE und DROP fehlen in Deiner Auflistung z.B.)

stimmt!

Wobei ich persönlich doch die Variante 1 vorziehen würde mit den Views und einer sauberen Benutzerzugriffsregelung.

**dust258**

@taveuni: Ja, macht keinen Unterschied

Hab ich mir fast gedacht. Views kommen für mich leider nicht in Frage, da die Datenstruktur fehlt. Also werde ich wohl vor dem Open parsen.
@DeddyH: Die Idee ist super, nur leider sind in meinem Fall auch mehrere SQL-Befehle hintereinander möglich, daher werde ich wohl nach "verbotenen" Wörtern suchen. Hier meine Lösung:

zusammenfalten · markieren

Delphi-Quellcode:

			function TListStatSchnittForm.SucheManipulativeAbfragen(inSSQLText: String): Boolean;

var

  lSSQLxStrings : String;

  lBInString : Boolean;

  i : integer;

begin

  Result := false;

  //Schlüsselwörter in Strings werden ignoriert

  lBInString := false;

  for I := 0 to Length(inSSQLText) - 1 do

  begin

    if (inSSQLText[i] = '"') then

      lBInString := not lBInString;

    if not lBInString then

      lSSQLxStrings := lSSQLxStrings + inSSQLText[i];

  end;

  if (pos('INSERT', Uppercase(lSSQLxStrings)) > 0) or

     (pos('UPDATE', Uppercase(lSSQLxStrings)) > 0) or

     (pos('DROP', Uppercase(lSSQLxStrings)) > 0) or

     (pos('CREATE', Uppercase(lSSQLxStrings)) > 0) or

     (pos('ALTER', Uppercase(lSSQLxStrings)) > 0) or

     (pos('DELETE', Uppercase(lSSQLxStrings)) > 0)

  then

  Result := true;

end;

Edit: Danke für die Hilfe ^^

**joachimd**

lass dies von der Datenbank überwachen: lege dazu einen User an, der nur lesend auf die entsprechenden Tabellen zugreifen darf. Logge dich für dein 'benutzer darf SQL eingeben' Fenster über eine zusätzliche Connection mit eben diesem User (oder einem frei zu wählenden) an. Falls dann der Admin Sch... baut und dem falschen Benutzer zuviele Rechte vergibt, ist es nicht mehr dir anzulasten

**taveuni**

Ist das auch so wenn Du die Query dynamisch erzeugst?

Themen-Optionen	Thema durchsuchen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen	Thema durchsuchen: Erweiterte Suche
Ansicht
Zur Linear-Darstellung wechseln Hybrid-Darstellung Zur Baum-Darstellung wechseln

INSERT kann mit einem Open ausgeführt werden?

INSERT kann mit einem Open ausgeführt werden?

AW: INSERT kann mit einem Open ausgeführt werden?

AW: INSERT kann mit einem Open ausgeführt werden?

AW: INSERT kann mit einem Open ausgeführt werden?

AW: INSERT kann mit einem Open ausgeführt werden?

AW: INSERT kann mit einem Open ausgeführt werden?

AW: INSERT kann mit einem Open ausgeführt werden?

Forumregeln

Bernerbaer (Gast) n/a Beiträge	#2 AW: INSERT kann mit einem Open ausgeführt werden? 19. Jan 2011, 13:41 Variante 1: Erstelle Views und lasse dem User nur auf diese zugreifen. Variante 2: überprüfe vor dem Open den vom User zusammengestellten SQL-Syntax auf das Vorhandensein von alter, insert, update und verhindere die Ausführung wenn einer dieser Begriffe vorkommt.
	Zitat

taveuni Registriert seit: 3. Apr 2007 Ort: Zürich 535 Beiträge Delphi 11 Alexandria	#7 AW: INSERT kann mit einem Open ausgeführt werden? 19. Jan 2011, 13:45 Ist das auch so wenn Du die Query dynamisch erzeugst? Die obige Aussage repräsentiert meine persönliche Meinung. Diese erhebt keinen Anspruch auf Objektivität oder Richtigkeit.
	Zitat