Danke, Delphi.Narium

und was bedeutet:

QuotedStr setzt die Hochkommata pascalkonform und nicht sqlkonform.
Oft passt das mit den ' aber nicht immer und bei dem "nicht immer" ist es möglich, durch geschicktes setzen der Hochkommata "so mal eben" in ein gültig aussehendes SQL weitere SQL-Statements einzufügen, mit denen man im "Idealfall" den gesamten Datenbestand ruinieren kann.

Oder mal anders formuliert: Unter Zuhilfenahme von QuotedStr (bzw. dem Zusammenbau von SQLs durch das Zusammenfügen von Strings) kann man Schadcode in ein SQL einfügen und diesen dann per Open bzw. ExecSQL ausführen lassen.

Bei der Nutzung von Parametern ist dies nicht möglich. Egal was man da in den Parameter "reinschiebt", es wird immer als Gesamtes (als Inhalt) in einem einzigen Wert interpretiert.

Da QuotedStr nur das ' kennt, wird man mit QuotedStr bei allen Datenbanken, die auch noch was anderes als das ' unterstützen / verlangen, scheitern.

Guten Morgen Delphi.Narium,

vielen Dank für Deine ausführlichen Informationen! Das war sehr hilf- und lehrreich für mich!

Da ich aber schon etliche hundert SQL Statements in dieser Form geschrieben habe, werde ich das in Zukunft so machen!

Beste Grüße

QuoteStr:
Eine orgendliche SQL-Library sollte irgendwo eine Quote-/Escape-Funktion besitzen, welche die Sprache des entsprechenden SQL spricht.

Wenn man nicht umher kommt und den SQL-Text zusammensetzen muß,
entweder direkt oder mit Makros, dann sollte man eben auch die richtige Funktion benutzen.


In PgDAC z.B. gibt es eine/zwei Funktion mit zuvielen Parametern, welche 'Strings' und "Bezeicher" behandeln kann. (über Ableitung oder ClassHelper kann man sich dann die Verwendung vereinfachen und sie zum leichtern Auffinden auch direkt an die Klassen der Conneecton oder des Query anhängen)