AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Zurück Delphi-PRAXiS Programmierung allgemein Programmieren allgemein Delphi variabler Tabellenname in SQL-Abfrage
Thema durchsuchen
Ansicht
Themen-Optionen

variabler Tabellenname in SQL-Abfrage

Ein Thema von Luca Haas · begonnen am 9. Okt 2017 · letzter Beitrag vom 10. Okt 2017
Antwort Antwort
Seite 1 von 2  1 2      
Luca Haas

Registriert seit: 23. Aug 2017
Ort: Bad Breisig
139 Beiträge
 
Delphi 10.2 Tokyo Enterprise
 
#1

variabler Tabellenname in SQL-Abfrage

  Alt 9. Okt 2017, 11:05
Hi Leute,
ich entwickle derzeit eine Suchfunktion, mit der ich eine Datenbank durchsuchen kann.
Dafür habe ich erst zwei Edits genommen, denen eine feste Spalte in der Tabelle zugewiesen (dass diese nur die eine Spalte durchsucht, was auch problemlos funktioniert
Delphi-Quellcode:
SQLBefehl := 'SELECT * FROM KST_Lagerbewertung';
if (Edit1.Text <> '') then
  SQLBefehl := SQLBefehl + (' WHERE Artikelbezeichnung LIKE ''' + StringReplace(Edit1.Text, '*', '%', [rfReplaceAll]) + '%''');
Jetzt versuche ich allerdings eine dritte Suchfunktion hinzuzufügen, wo der Spaltenname nicht vorgegeben ist, sondern durch eine ComboBox ausgewählt werden kann. Ich versuche den Spaltennamen über eine Variable (CB1Spalte) in die SQL-Abfrage einzugeben, allerdings weiß ich nicht wie ich der Abfrage klarmache, dass ich aktuell eine Variable benutze und diese nicht der Spaltenname ist
Delphi-Quellcode:
  if (Edit3.Text <> '') then
  begin
    CB1Spalte := ComboBox1.Text;
    SQLBefehl := SQLBefehl + (' WHERE ''CB1Spalte'' LIKE ''' + StringReplace(Edit3.Text, '+', '%', [rfReplaceAll]) + '%''');
  end;
Jetzt meine Frage, wie genau kann ich Delphi, bzw der SQL-Abfrage, klarmachen, dass CB1Soalte nur eine Variable ist und ich deren Wert benötige ?
  Mit Zitat antworten Zitat
jobo

Registriert seit: 29. Nov 2010
3.072 Beiträge
 
Delphi 2010 Enterprise
 
#2

AW: variabler Tabellenname in SQL-Abfrage

  Alt 9. Okt 2017, 11:11
Du kannst es der Abfrage nicht "klarmachen"
Der Spaltenname muss aus Deiner Komobox entnommen werden und im Klartext in die Abfrage eingebaut werden.

p.s.: dabei keine Hochkommata verwenden, sonst wird es für eine Textkonstante gehalten.
Gruß, Jo
  Mit Zitat antworten Zitat
Luca Haas

Registriert seit: 23. Aug 2017
Ort: Bad Breisig
139 Beiträge
 
Delphi 10.2 Tokyo Enterprise
 
#3

AW: variabler Tabellenname in SQL-Abfrage

  Alt 9. Okt 2017, 11:23
Wie entnehme ich den Spaltennamen den aus der Combobox, etwa mit Combobox1.Text ?
  Mit Zitat antworten Zitat
jobo

Registriert seit: 29. Nov 2010
3.072 Beiträge
 
Delphi 2010 Enterprise
 
#4

AW: variabler Tabellenname in SQL-Abfrage

  Alt 9. Okt 2017, 12:21
Ja, machst Du doch schon. Du musst die Variable halt auch so mit + (Textkokatenierung) einbinden, wie Deinen Suchwert (Den man im Übrigen besser als Parameter einbinden würde.
Aber alles der Reihe nach.
Gruß, Jo
  Mit Zitat antworten Zitat
Luca Haas

Registriert seit: 23. Aug 2017
Ort: Bad Breisig
139 Beiträge
 
Delphi 10.2 Tokyo Enterprise
 
#5

AW: variabler Tabellenname in SQL-Abfrage

  Alt 9. Okt 2017, 12:31
Es tut mir leid, aber so genau verstehe ich nicht wie du das mit dem + meinst. Ich programmiere noch nicht so lange und kenne das leider noch nicht
Delphi-Quellcode:
  begin
    CB1Spalte := ComboBox1.Text;
    SQLBefehl := SQLBefehl + (' WHERE +CB1Spalte+ LIKE ''%' + StringReplace(Edit3.Text, '*', '%', [rfReplaceAll]) + '%''');
  end;
Es sieht jetzt so aus, allerdings erhalte ich noch eine Fehlermeldung, wegen falscher Syntax in der Nähe von LIKE
  Mit Zitat antworten Zitat
Jumpy

Registriert seit: 9. Dez 2010
Ort: Mönchengladbach
1.736 Beiträge
 
Delphi 6 Enterprise
 
#6

AW: variabler Tabellenname in SQL-Abfrage

  Alt 9. Okt 2017, 12:35
Es tut mir leid, aber so genau verstehe ich nicht wie du das mit dem + meinst. Ich programmiere noch nicht so lange und kenne das leider noch nicht
Delphi-Quellcode:
  begin
    CB1Spalte := ComboBox1.Text;
    SQLBefehl := SQLBefehl + (' WHERE +CB1Spalte+ LIKE ''%' + StringReplace(Edit3.Text, '*', '%', [rfReplaceAll]) + '%''');
  end;
Es sieht jetzt so aus, allerdings erhalte ich noch eine Fehlermeldung, wegen falscher Syntax in der Nähe von LIKE
Delphi-Quellcode:
  begin
    CB1Spalte := ComboBox1.Text;
    SQLBefehl := SQLBefehl + (' WHERE '+CB1Spalte+' LIKE ''%' + StringReplace(Edit3.Text, '*', '%', [rfReplaceAll]) + '%''');
  end;
Ralph
  Mit Zitat antworten Zitat
Luca Haas

Registriert seit: 23. Aug 2017
Ort: Bad Breisig
139 Beiträge
 
Delphi 10.2 Tokyo Enterprise
 
#7

AW: variabler Tabellenname in SQL-Abfrage

  Alt 9. Okt 2017, 12:37
So klappt es, danke schön
  Mit Zitat antworten Zitat
nahpets
(Gast)

n/a Beiträge
 
#8

AW: variabler Tabellenname in SQL-Abfrage

  Alt 9. Okt 2017, 12:46
Suchst Du sowas in der Art? (Auch wenn's schon zu spät ist )
Delphi-Quellcode:
function CreateSQL(ATabellen : String; ASpalten : String; ASuchbegriff : String) : String;
var
  SQLSuchbegriff : String;
begin
  Result := Format('select * from %s',[ATabelle]);
  if (ASpalten <> '')
  and (ASuchbegriff <> '') then begin
    SQLSuchbegriff := Trim(ASuchbegriff);
    SQLSuchbegriff := StringReplace(SQLSuchbegriff, '*', '%', [rfReplaceAll]);
    SQLSuchbegriff := StringReplace(SQLSuchbegriff, '?', '_', [rfReplaceAll])
    SQLSuchbegriff := QuotedStr(SQLSuchbegriff + '%');
    Result := Format('%s where %s like %s',[Result,ASpalte,SQLSuchbegriff]);
  end;
end;

// Aufruf
SQLBefehl := CreateSQL(ComboBoxTabellennamen.Text, ComboBoxSpaltennamen.Text, EditSuchbegriff.Text);
  Mit Zitat antworten Zitat
Benutzerbild von himitsu
himitsu

Registriert seit: 11. Okt 2003
Ort: Elbflorenz
44.068 Beiträge
 
Delphi 12 Athens
 
#9

AW: variabler Tabellenname in SQL-Abfrage

  Alt 9. Okt 2017, 20:42
Keine Hochkomma stimmt nicht.
Es kommt aber auf die Syntax des jeweiligen DBMS drauf an.

Denn es gibt verschiedene "Hochkomma" ... " ' ´ ` usw.
und die werden unterschiedlich verwendet, also entweder für "Strings" oder eben auch für "Namen".


Derartige zusammengebaute SQLs verleiten doch nahezu zu SQL-Injections?
Es gibt garantiert irgendwo in den verwendeten Zugriffskomponenten entsprechende Funktionen zum "Quoten und Escapen" von Werten/String und von Bezeichnern, welche man bei sowas besser auch verwenden sollte.

Und wenn auch ständig immerwieder welche Delphi-Referenz durchsuchenQuotedStr verwenden, so ist das doch eigentlich falsch, denn das ist für "Pascal-Strings" und nicht für "SQL-Bezeichner", welche nahezu immer einer komplett anderen Syntax unterliegen.
Neuste Erkenntnis:
Seit Pos einen dritten Parameter hat,
wird PoSex im Delphi viel seltener praktiziert.

Geändert von himitsu ( 9. Okt 2017 um 20:46 Uhr)
  Mit Zitat antworten Zitat
nahpets
(Gast)

n/a Beiträge
 
#10

AW: variabler Tabellenname in SQL-Abfrage

  Alt 9. Okt 2017, 23:21
Dann muss man mit Parametern arbeiten (wobei man Tabellenanem nicht über Parameter in eine Abfrage bekommt), ohne zu wissen, was für Komponenten genutzt werden, ist da ein Beispiel schwierig.

Da ist dann QuotedStr ungefähr genausogut wie eine Reihe von ', wie im ersten Post bei

SQLBefehl := SQLBefehl + (' WHERE Artikelbezeichnung LIKE ''' + StringReplace(Edit1.Text, '*', '%', [rfReplaceAll]) + '%''');

Frei nach dem Motto, passt meistens aber nicht immer und ja, beides ist bekanntermaßen nicht perfekt.
  Mit Zitat antworten Zitat
Antwort Antwort
Seite 1 von 2  1 2      


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 09:36 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz