|
Hochkomma entfernen -> INSERT INTO-Problem
Hallo zusammen,
wenn ich mit INSERT INTO ein Tupel in eine Tabelle einfügen möchte kommt immer der Fehler: "Rechtes Anführungszeichen fehlt", wenn ein VALUE mit einem Hochkomma dabei ist. Wenn ich nun verscuhe mit Quotedstr Hochkommas dazuzufügen klappt das auch nicht. Kann mir einer von euch sagen, wie ich entweder das Hochkomme in einem String gegen ein Leerzeichen austauschen kann, oder kennt jemand noch eine andere Lösung ? Gruss Holger |
Re: Hochkomma entfernen -> INSERT INTO-Problem
Zeig doch mal den Source, IIRC dürfte es bei parametrisierten Statements nicht zu diesem Problem kommen.
|
Re: Hochkomma entfernen -> INSERT INTO-Problem
Nimm parametrisierte Abfragen:
Delphi-Quellcode:
Und schon hast du keine Probleme mehr mit Hochkommas und SQL-Injection.
query.SQL.Add('INSERT INTO MyTabelle(Feld1) VALUES(:Feld1)');
query.Prepare; query.ParamByName('Feld1').Asstring := MeinWertMitHochkomma; query.Execute; |
Re: Hochkomma entfernen -> INSERT INTO-Problem
@Bernhard: 2 Doofe, ein Gedanke :cheers: :)
|
Re: Hochkomma entfernen -> INSERT INTO-Problem
Vielen dank für die Infos.
Habe da aber leider ein Problem. Ich nutze für mein ganzes Programm beim INSERT folgende Procedure:
Delphi-Quellcode:
Wie könnte ich diese umbauen, damit es klappt ? Will jetzt nicht mein ganzes Programm ändern.
procedure Datensatz_insert (Werte:String; Spalten:String; Tabelle:String);
begin with DM_Query_XYZ do begin QueryInsert.Close; QueryInsert.SQL[0] := 'INSERT INTO ' + Tabelle + ''; QueryInsert.SQL[1] := '(' + Spalten + ')'; QueryInsert.SQL[2] := 'VALUES(' + Werte + ')'; QueryInsert.ExecSQL; end; DM_Query_XYZ.QueryCommit.ExecSQL; end; Gruss Holger |
Re: Hochkomma entfernen -> INSERT INTO-Problem
Zitat:
Was, wenn ein Benutzer z.B. bei einem der einzugebenden Werte folgendes eingibt:
Code:
?
; DROP TABLE nameeinerwichtigentabelle; --
Du öffnest damit dem einfachsten aller Angriffe, namentlich der SQL Injection, sämtliche Türen. Also. Umbauen auf Parameter und nirgends in der Anwendung auf die Idee kommen, SQL anhand von Benutzereingaben zusammenzubauen. Das ist das allerschlimmste was man tun kann. |
DP-Maintenance
Dieses Thema wurde von "Phoenix" von "Object-Pascal / Delphi-Language" nach "Datenbanken" verschoben.
Ausserdem ist das ein Datenbank-Thema |
Re: Hochkomma entfernen -> INSERT INTO-Problem
Zitat:
Delphi-Quellcode:
und schon kannst du das prepared Statement dynamisch zusammenbauen und bist sicher.
procedure Datensatz_insert (Werte: array of String; Spalten: array of String; Tabelle: String);
Übrigens ist deine Vorgehenweise ein Argument wieso wir aktuell unsere CRM-System rausschmeißen. Aufgrund einer Ähnlichen vorgehensweise führen Hochkommas an diversen Stellen zu Nicht-Funktionieren der Systems. Ein evtl. angedachte browserbasierter Aktualisierung dieses Systems würde die DMZ unnötig machen da über SQL-Injection eine Lockerer Systemeinbruch möglich wäre. |
Re: Hochkomma entfernen -> INSERT INTO-Problem
Zitat:
Den folgenden Code habe ich nicht getestet. Er sollte allerdings eine gute Grundlange bilden, wie du die Abfrage dynamisch und sicher zusammenbauen kannst.
Delphi-Quellcode:
Beachte, dass sich die Typen der ersten beiden Parameter geändert haben.
procedure Datensatz_insert (Werte:TStrings; Spalten:TStrings; Tabelle:String);
var i: Integer; Values: TStrings; begin Values := TStrings.Create; Spalten.Delimiter := ','; Spalten.QuoteChar := ''; Values.Delimiter := ','; Values.QuoteChar := ''; for i:=0 to Spalten.Count-1 do Values.Add(':' + Spalten[i]); with DM_Query_XYZ do begin QueryInsert.Close; QueryInsert.Add('INSERT INTO ' + Tabelle); QueryInsert.Add('(' + Spalten.DelimitedText + ')'); QueryInsert.Add('VALUES(' + Values.DelimitedText + ')'); QueryInsert.Prepare; for i:=0 to Spalten.Count-1 do QueryInsert.ParamByName(Spalten[i]).Asstring := Werte[i]; QueryInsert.Execute; end; LG, Xong |
Re: Hochkomma entfernen -> INSERT INTO-Problem
Hallo,
[OT]Xong war schneller als ich :wink: [/OT] @HolgerCW wenn Du es auf diese Art und Weise machen willst, musst Du wohl sowas machen:
Delphi-Quellcode:
Nichtsdestotrotz überleg' Dir, ob Du das nicht doch lieber über Parameter machen willst.
with DM_Query_XYZ do
begin QueryInsert.Close; QueryInsert.SQL[0] := 'INSERT INTO ' + Tabelle + ''; QueryInsert.SQL[1] := '(' + Spalten + ')'; QueryInsert.SQL[2] := 'VALUES(' + AnsiReplaceText(Werte,'''','''''') + ')'; QueryInsert.ExecSQL; end;
Delphi-Quellcode:
Hat bei mir soeben funktioniert.
procedure Datensatz_insert(Query : TAdoQuery;Werte: tStringList; Spalten: tStringList; Tabelle: String);
Var i : Integer; sParams : String; sSpalten : String; begin if Werte.Count <> Spalten.Count then begin ShowMessage('Keine Übereinstimmung im Werte-/Spaltenpaar.'); Exit; end; Query.Close; Query.SQL.Clear; sParams := ''; sSpalten := ''; for i := 0 To Werte.Count - 1 Do begin if i = Werte.Count - 1 then begin sSpalten := sSpalten + Spalten[i]; sParams := sParams + ':' + Spalten[i]; Query.Parameters.AddParameter.Name := Spalten[i]; end else begin sSpalten := sSpalten + Spalten[i] + ','; sParams := sParams + ':' + Spalten[i] + ','; Query.Parameters.AddParameter.Name := Spalten[i]; end; End; Query.SQL.Add('Insert into ' + Tabelle + '('); Query.SQL.Add(sSpalten); Query.SQL.Add(') values ('); Query.SQL.Add(sParams); Query.SQL.Add(')'); for i := 0 To Werte.Count - 1 Do Query.Parameters[i].Value := Werte[i]; Query.ExecSQL; end; procedure TForm1.Button1Click(Sender: TObject); Var Werte : TStringList; Spalten : TStringList; begin Werte := TStringList.Create; Spalten := TStringList.Create; Werte.Add('Wert 1'); // Das könnte man ggfls. auch als Commaseperated übergeben Werte.Add('Wert 2'); Werte.Add('Wert 3'); Spalten.Add('Spalte1'); Spalten.Add('Spalte2'); Spalten.Add('Spalte3'); Datensatz_insert(QueryInsert, Werte, Spalten, 'Tabelle'); Werte.Free; Spalten.Free; end; |
Re: Hochkomma entfernen -> INSERT INTO-Problem
Danke für die Tips,
werde ich gleich umsetzen. Bei Xong-Code kommt aber der Fehler bei:
Delphi-Quellcode:
-> Inkompatible Typen 'Char' und 'string'
Spalten.QuoteChar := '';
|
Re: Hochkomma entfernen -> INSERT INTO-Problem
Zitat:
Delphi-Quellcode:
LG,
Spalten.QuoteChar := ' ';
Xong |
Re: Hochkomma entfernen -> INSERT INTO-Problem
Alles klar,
eine Frage habe ich noch. Kann man TStrings nur mit Add füllen oder kann man die auch in etwa so übergeben: [Variable1,Variable2,...] ? Müsste sonst nämlich alle Aufrufe der Procedure Datensatz_insert komplett ändern. Gruss Holger |
Re: Hochkomma entfernen -> INSERT INTO-Problem
Versuch es mal mit Array of String (ohne Gewähr).
|
Re: Hochkomma entfernen -> INSERT INTO-Problem
Zitat:
Folgende Prozedur hat den gleichen Kopf, wie du ihn vorgegeben hattest:
Delphi-Quellcode:
LG,
procedure Datensatz_insert (Werte:String; Spalten:String; Tabelle:String);
var i: Integer; sValues,sWerte,sSpalten: TStrings; begin sValues := TStrings.Create; sWerte := TStrings.Create; sSpalten := TStrings.Create; sSpalten.Delimiter := ','; sSpalten.QuoteChar := ' '; sValues.Delimiter := ','; sValues.QuoteChar := ' '; sSpalten.CommaText := Spalten; sWerte.CommaText := Werte; for i:=0 to sSpalten.Count-1 do sValues.Add(':' + sSpalten[i]); with DM_Query_XYZ do begin QueryInsert.Close; QueryInsert.Add('INSERT INTO ' + Tabelle); QueryInsert.Add('(' + sSpalten.DelimitedText + ')'); QueryInsert.Add('VALUES(' + sValues.DelimitedText + ')'); QueryInsert.Prepare; for i:=0 to sSpalten.Count-1 do QueryInsert.ParamByName(sSpalten[i]).Asstring := sWerte[i]; QueryInsert.Execute; end; Xong |
Re: Hochkomma entfernen -> INSERT INTO-Problem
Wenn der Debugger diese zeile erreicht:
Delphi-Quellcode:
kommt die Fehlermeldung: Abstrakter Fehler ???
sSpalten.CommaText := Spalten;
So sieht mein Spaltenstring aus: 'STOER_ART_ID,ANWENDER_ID, DATUM, MELDER, ORT_ID, ... ' |
Re: Hochkomma entfernen -> INSERT INTO-Problem
versuchs mal mit DelimitedText statt CommaText.
|
Re: Hochkomma entfernen -> INSERT INTO-Problem
Zitat:
Vielleicht klappt sowas mit Datenbankclients die es nicht interessiert, daß alle Befehle fehlerfrei ausgeführt werden sollten, bevor sie den nächsten ausführen. Aber bei Oracle sehe ich diese Gefahr nicht. Angenommen es soll folgendes passieren:
SQL-Code:
Wenn jetzt der Tabellenname durch eine Variable gefüllt wird, die das hier beinhaltet
update customer set name = 'Willi';
SQL-Code:
dann würde man ja dieses hier bekommen:
; DROP TABLE nameeinerwichtigentabelle; --
SQL-Code:
Und das gibt dann eine Exception mit einem Oraclefehler (Nummer weiss ich nicht, aber sinngemäß kommt da: Befehl nicht korrekt beendet, und der Rest wird gar nicht mehr ausgeführt. Ich weiss nicht wie das MySQL und Konsorten handhaben, aber wenn die soo leicht hinters Licht zu führen sind...hats vielleicht doch einen Grund Geld für ein DBMS zu zahlen.
update ; DROP TABLE nameeinerwichtigentabelle; -- set name = 'Willi';
Selbstverständlich sollte man lieber mit Parametern arbeiten, wegen Übersichtlichkeit und auch aus Performancegründen (Querys, bei denen sich nur die Inhalte der Paramter ändern werden schneller ausgeführt, als wenn man die gleiche Query mit unterschiedlichen Inhalten absendet. Sherlock |
Re: Hochkomma entfernen -> INSERT INTO-Problem
Und wenn man statt des Tabellennamens den Wert hernimmt? Bei fehlender Prüfung und genügend krimineller Energie bekommt man dann so etwas hin:
SQL-Code:
update customer set name = 'Willi';DROP TABLE WichtigeTabelle;update customer set name = 'Wuppdi';
|
Re: Hochkomma entfernen -> INSERT INTO-Problem
Aaaah, Rückzug!
Aber ne Abmahnung oder Kündigung gibts dafür trotzdem nicht, denn der Chef hat noch weniger Ahnung davon als ich :D Sherlock |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 19:25 Uhr. |
Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024-2025 by Thomas Breitkreuz