Stringgrid Einträge in SQL-Tabelle übernehmen

**haentschman**

Hallöle...

Zitat:

habe die Lösung selber herausgefunden

...trotzdem gibt es einen entscheidenden Fehler...keine Parameter!

markieren

Delphi-Quellcode:

			'INSERT INTO '+QuotedStr(lbl_tab_datenbank.Caption)+' (beschreibung,art,preis,nr) VALUES('+QuotedStr(sgrid_test.Cells[1,n])+','    +QuotedStr(sgrid_test.Cells[2,n])+','+QuotedStr(sgrid_test.Cells[3,n])+','+QuotedStr(sgrid_test.Cells[0,n])+ ')'

..

=

Besser:

markieren

Delphi-Quellcode:

			LiteQuery.SQL.Text := 'INSERT INTO '+ QuotedStr(lbl_tab_datenbank.Caption) + ' (beschreibung,art,preis,nr) VALUES (:P1, :P2, :P3, :P4)';

LiteQuery.ParamByName('P1').AsString := QuotedStr(sgrid_test.Cells[1,n]);

LiteQuery.ParamByName('P2').AsString := QuotedStr(sgrid_test.Cells[2,n]);

LiteQuery.ParamByName('P3').AsString := QuotedStr(sgrid_test.Cells[3,n]);

LiteQuery.ParamByName('P4').AsString := QuotedStr(sgrid_test.Cells[0,n]);

=

Grund:

https://de.wikipedia.org/wiki/SQL-Injection

**DeddyH**

Einem Parameter.AsString einen QuotedStr zu übergeben, ist das nicht doppelt gemoppelt und müsste dazu führen, dass die DB-Einträge dann auch gequoted sind?

**haentschman**

CopyPaste...Schei...

und ja.

Guck mal auf die Uhr...Heute, 07:59...wir haben heute hier Feiertag.

**himitsu**

Nein.
QuoteStr ist für PascalStrings, aber ist und war niemals nicht für SQL-Strings.
Einfaches Beispiel ist das \ welches davon nicht behandelt wird.

Man nehme Parameter oder die EscapeFunktion des DB-Frameworks.

**DeddyH**

Genau darum geht es doch.

**himitsu**

komisch, vorhin war haentschman ganz bestimmt noch nicht zu sehn

**haentschman**

Zitat:

vorhin war haentschman ganz bestimmt noch nicht zu sehn

...das ist Absicht.

Stringgrid Einträge in SQL-Tabelle übernehmen

AW: Stringgrid Einträge in SQL-Tabelle übernehmen

AW: Stringgrid Einträge in SQL-Tabelle übernehmen

AW: Stringgrid Einträge in SQL-Tabelle übernehmen

AW: Stringgrid Einträge in SQL-Tabelle übernehmen

AW: Stringgrid Einträge in SQL-Tabelle übernehmen

AW: Stringgrid Einträge in SQL-Tabelle übernehmen

AW: Stringgrid Einträge in SQL-Tabelle übernehmen

Forumregeln

haentschman Registriert seit: 24. Okt 2006 Ort: Seifhennersdorf / Sachsen 5.437 Beiträge Delphi 12 Athens	#3 AW: Stringgrid Einträge in SQL-Tabelle übernehmen 31. Okt 2022, 14:16 CopyPaste...Schei... und ja. Guck mal auf die Uhr...Heute, 07:59...wir haben heute hier Feiertag.
	Zitat

himitsu Registriert seit: 11. Okt 2003 Ort: Elbflorenz 44.378 Beiträge Delphi 12 Athens	#4 AW: Stringgrid Einträge in SQL-Tabelle übernehmen 31. Okt 2022, 14:58 Nein. QuoteStr ist für PascalStrings, aber ist und war niemals nicht für SQL-Strings. Einfaches Beispiel ist das \ welches davon nicht behandelt wird. Man nehme Parameter oder die EscapeFunktion des DB-Frameworks. Ein Therapeut entspricht 1024 Gigapeut.
	Zitat

DeddyH Registriert seit: 17. Sep 2006 Ort: Barchfeld 27.659 Beiträge Delphi 12 Athens	#5 AW: Stringgrid Einträge in SQL-Tabelle übernehmen 31. Okt 2022, 16:07 Genau darum geht es doch. Detlef *"Ich habe Angst vor dem Tag, an dem die Technologie unsere menschlichen Interaktionen übertrumpft. Die Welt wird eine Generation von Idioten bekommen."* (Albert Einstein) Dieser Tag ist längst gekommen
	Zitat

himitsu Registriert seit: 11. Okt 2003 Ort: Elbflorenz 44.378 Beiträge Delphi 12 Athens	#6 AW: Stringgrid Einträge in SQL-Tabelle übernehmen 31. Okt 2022, 19:01 komisch, vorhin war haentschman ganz bestimmt noch nicht zu sehn Ein Therapeut entspricht 1024 Gigapeut.
	Zitat

haentschman Registriert seit: 24. Okt 2006 Ort: Seifhennersdorf / Sachsen 5.437 Beiträge Delphi 12 Athens	#7 AW: Stringgrid Einträge in SQL-Tabelle übernehmen 1. Nov 2022, 07:52 Zitat: vorhin war haentschman ganz bestimmt noch nicht zu sehn ...das ist Absicht.
	Zitat