AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Zurück Delphi-PRAXiS Programmierung allgemein Datenbanken Delphi Zweite Zeile SQLite ansprechen
Thema durchsuchen
Ansicht
Themen-Optionen

Zweite Zeile SQLite ansprechen

Ein Thema von BenneX · begonnen am 9. Jul 2014 · letzter Beitrag vom 10. Jul 2014
Antwort Antwort
Benutzerbild von himitsu
himitsu

Registriert seit: 11. Okt 2003
Ort: Elbflorenz
44.372 Beiträge
 
Delphi 12 Athens
 
#1

AW: Zweite Zeile SQLite ansprechen

  Alt 9. Jul 2014, 16:35
Grundsätzlich sollte doch langsam bekannt sein, daß im "kompilierten" Programm keine Variablennamen mehr existieren und selbst wenn, woher soll der Code, innerhalb des ExcecSql-Befehls wissen welche Variable mit dem Namen "a" gemeint ist, wenn es die Codestelle doch nicht kennt, wo das A deklariert/zugänglich ist.
Man muß also die Variable oder den Kontext (z.B. ein Daten-Objekt) übergeben.

Und wenn du das "a" nunmal nicht als Parameter/Variable deklarierst, dann ist es doch klar, daß es an dieser Stelle, von der Syntax her, nur ein Feld sein kann, und da es kein Feld "a" in der Tabelle gibt, muß es auch knallen.

Wir haben uns ein eigenes ExecSql geschrieben function xxx.ExceSql(Query: string; Params: array of variant); , welches die übergebenen Parameter an Params übergibt.

markieren
Delphi-Quellcode:
SQLBefehl := 'INSERT INTO Spieler (Koordinaten, Spielername) VALUES (:a, "BenneX")';
DataBase.ExecSql(SQLBefehl, [a]);
Der Parametername ist hier natürlich egal, da rein auf den Index gegangen wird, also der erste Parameter-Wert geht auch an den ersten Parameter im SQLBefehl.
markieren
Delphi-Quellcode:
b := 'Position';
a := 'Spieler';
SQLBefehl := 'INSERT INTO Spieler (Koordinaten, Spielername) VALUES (:a, :b)';
DataBase.ExecSql(SQLBefehl, [b, a]);

SQLBefehl := 'INSERT INTO Spieler (Koordinaten, Spielername) VALUES (:position, :name)';
DataBase.ExecSql(SQLBefehl, [b, a]);
[/delphi]
Ein Therapeut entspricht 1024 Gigapeut.
Geändert von himitsu ( 9. Jul 2014 um 16:38 Uhr)
  Mit Zitat antworten Zitat
Benutzerbild von p80286
p80286

Registriert seit: 28. Apr 2008
Ort: Stolberg (Rhl)
6.659 Beiträge
 
FreePascal / Lazarus
 
#2

AW: Zweite Zeile SQLite ansprechen

  Alt 9. Jul 2014, 16:45
... woher soll der Code, innerhalb des ExcecSql-Befehls wissen welche Variable mit dem Namen "a" gemeint ist, wenn es die Codestelle doch nicht kennt, wo das A deklariert/zugänglich ist.
Es ist doch noch viel schlimmer. "a" ist ein Bezeichner aus dem SQL-Universum, das hat mit dem Programm nichts aber auch garnichts zu tun.

Und sonst ist nur noch zu sagen Parameter,Parameter,Parameter.........


Gruß
K-H
Programme gehorchen nicht Deinen Absichten sondern Deinen Anweisungen
R.E.D retired error detector
  Mit Zitat antworten Zitat
BenneX

Registriert seit: 9. Jul 2014
21 Beiträge
 
#3

AW: Zweite Zeile SQLite ansprechen

  Alt 9. Jul 2014, 23:24
Hallo,

danke für die Antworten. Ich arbeite mich im Moment Schritt für Schritt in die Materie ein.
Jeder Anfang ist schwer

War ist das Problem mit Mavarik Lösung? Wieso sollte man diese nur im aller letzten Fall benutzen?

Grüße, BenneX.
Geändert von BenneX ( 9. Jul 2014 um 23:27 Uhr)
  Mit Zitat antworten Zitat
Benutzerbild von himitsu
himitsu

Registriert seit: 11. Okt 2003
Ort: Elbflorenz
44.372 Beiträge
 
Delphi 12 Athens
 
#4

AW: Zweite Zeile SQLite ansprechen

  Alt 9. Jul 2014, 23:45
Was ist das Problem mit Mavarik Lösung? Wieso sollte man diese nur im aller letzten Fall benutzen?
SQL-Injection

Man kann über den String "a" alles mögliche in das SQL einschleusen.
a := '*", "BenneX"); DROP DATABBASE xxx; SELECT COALESCE("';
Also müsstest du den Inhalt dieser Variable prüfen und sicherstellen, daß nichts Böses drin sein könnte,
während man keine Probleme hätte, wenn es als Parameter übergeben wird.
Ein Therapeut entspricht 1024 Gigapeut.
  Mit Zitat antworten Zitat
mkinzler
(Moderator)

Registriert seit: 9. Dez 2005
Ort: Heilbronn
39.875 Beiträge
 
Delphi 11 Alexandria
 
#5

AW: Zweite Zeile SQLite ansprechen

  Alt 10. Jul 2014, 06:36
Das ist aber nur einer der Vorteile, weitere wären (allgemein; kommt auf DBMS und Bibliothek/Wrapper an):
-automatische Anpassung von Formaten (Datum, Zeit, ...)
-automatische Typkonvertierungen bzw. Konvertierung nach String unnötig ( welche ja auch das Formatproblem birgt)
-Beschleunigung bei mehrfacher Ausführung durch Vorbereitung (Prepare): Die Abfrage wird ohne Werte vorbereitet ( Plan usw.) vor der Ausführung werden nur noch die Parameterwerte übertragen und die vorbereitete Abfrage mit dieser Wertekombination ausgeführt.
...
Markus Kinzler
  Mit Zitat antworten Zitat
BenneX

Registriert seit: 9. Jul 2014
21 Beiträge
 
#6

AW: Zweite Zeile SQLite ansprechen

  Alt 10. Jul 2014, 23:24
Was ist das Problem mit Mavarik Lösung? Wieso sollte man diese nur im aller letzten Fall benutzen?
SQL-Injection

Man kann über den String "a" alles mögliche in das SQL einschleusen.
a := '*", "BenneX"); DROP DATABBASE xxx; SELECT COALESCE("';
Also müsstest du den Inhalt dieser Variable prüfen und sicherstellen, daß nichts Böses drin sein könnte,
während man keine Probleme hätte, wenn es als Parameter übergeben wird.
Okay, das leuchtet mir ein. Werde versuchen mit Parameter zu arbeiten. (Sofern ich es hinbekomme)

Grüße!
  Mit Zitat antworten Zitat
Antwort Antwort

« Vorheriges Thema | Nächstes Thema »

Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.
BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus
Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 00:01 Uhr.
Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024-2025 by Thomas Breitkreuz