|
Hochkomma entfernen -> INSERT INTO-Problem
Hallo zusammen,
wenn ich mit INSERT INTO ein Tupel in eine Tabelle einfügen möchte kommt immer der Fehler: "Rechtes Anführungszeichen fehlt", wenn ein VALUE mit einem Hochkomma dabei ist. Wenn ich nun verscuhe mit Quotedstr Hochkommas dazuzufügen klappt das auch nicht. Kann mir einer von euch sagen, wie ich entweder das Hochkomme in einem String gegen ein Leerzeichen austauschen kann, oder kennt jemand noch eine andere Lösung ? Gruss Holger |
Re: Hochkomma entfernen -> INSERT INTO-Problem
Zeig doch mal den Source, IIRC dürfte es bei parametrisierten Statements nicht zu diesem Problem kommen.
|
Re: Hochkomma entfernen -> INSERT INTO-Problem
Nimm parametrisierte Abfragen:
Delphi-Quellcode:
Und schon hast du keine Probleme mehr mit Hochkommas und SQL-Injection.
query.SQL.Add('INSERT INTO MyTabelle(Feld1) VALUES(:Feld1)');
query.Prepare; query.ParamByName('Feld1').Asstring := MeinWertMitHochkomma; query.Execute; |
Re: Hochkomma entfernen -> INSERT INTO-Problem
@Bernhard: 2 Doofe, ein Gedanke :cheers: :)
|
Re: Hochkomma entfernen -> INSERT INTO-Problem
Vielen dank für die Infos.
Habe da aber leider ein Problem. Ich nutze für mein ganzes Programm beim INSERT folgende Procedure:
Delphi-Quellcode:
Wie könnte ich diese umbauen, damit es klappt ? Will jetzt nicht mein ganzes Programm ändern.
procedure Datensatz_insert (Werte:String; Spalten:String; Tabelle:String);
begin with DM_Query_XYZ do begin QueryInsert.Close; QueryInsert.SQL[0] := 'INSERT INTO ' + Tabelle + ''; QueryInsert.SQL[1] := '(' + Spalten + ')'; QueryInsert.SQL[2] := 'VALUES(' + Werte + ')'; QueryInsert.ExecSQL; end; DM_Query_XYZ.QueryCommit.ExecSQL; end; Gruss Holger |
Re: Hochkomma entfernen -> INSERT INTO-Problem
Zitat:
Was, wenn ein Benutzer z.B. bei einem der einzugebenden Werte folgendes eingibt:
Code:
?
; DROP TABLE nameeinerwichtigentabelle; --
Du öffnest damit dem einfachsten aller Angriffe, namentlich der SQL Injection, sämtliche Türen. Also. Umbauen auf Parameter und nirgends in der Anwendung auf die Idee kommen, SQL anhand von Benutzereingaben zusammenzubauen. Das ist das allerschlimmste was man tun kann. |
DP-Maintenance
Dieses Thema wurde von "Phoenix" von "Object-Pascal / Delphi-Language" nach "Datenbanken" verschoben.
Ausserdem ist das ein Datenbank-Thema |
Re: Hochkomma entfernen -> INSERT INTO-Problem
Zitat:
Delphi-Quellcode:
und schon kannst du das prepared Statement dynamisch zusammenbauen und bist sicher.
procedure Datensatz_insert (Werte: array of String; Spalten: array of String; Tabelle: String);
Übrigens ist deine Vorgehenweise ein Argument wieso wir aktuell unsere CRM-System rausschmeißen. Aufgrund einer Ähnlichen vorgehensweise führen Hochkommas an diversen Stellen zu Nicht-Funktionieren der Systems. Ein evtl. angedachte browserbasierter Aktualisierung dieses Systems würde die DMZ unnötig machen da über SQL-Injection eine Lockerer Systemeinbruch möglich wäre. |
Re: Hochkomma entfernen -> INSERT INTO-Problem
Zitat:
Den folgenden Code habe ich nicht getestet. Er sollte allerdings eine gute Grundlange bilden, wie du die Abfrage dynamisch und sicher zusammenbauen kannst.
Delphi-Quellcode:
Beachte, dass sich die Typen der ersten beiden Parameter geändert haben.
procedure Datensatz_insert (Werte:TStrings; Spalten:TStrings; Tabelle:String);
var i: Integer; Values: TStrings; begin Values := TStrings.Create; Spalten.Delimiter := ','; Spalten.QuoteChar := ''; Values.Delimiter := ','; Values.QuoteChar := ''; for i:=0 to Spalten.Count-1 do Values.Add(':' + Spalten[i]); with DM_Query_XYZ do begin QueryInsert.Close; QueryInsert.Add('INSERT INTO ' + Tabelle); QueryInsert.Add('(' + Spalten.DelimitedText + ')'); QueryInsert.Add('VALUES(' + Values.DelimitedText + ')'); QueryInsert.Prepare; for i:=0 to Spalten.Count-1 do QueryInsert.ParamByName(Spalten[i]).Asstring := Werte[i]; QueryInsert.Execute; end; LG, Xong |
Re: Hochkomma entfernen -> INSERT INTO-Problem
Hallo,
[OT]Xong war schneller als ich :wink: [/OT] @HolgerCW wenn Du es auf diese Art und Weise machen willst, musst Du wohl sowas machen:
Delphi-Quellcode:
Nichtsdestotrotz überleg' Dir, ob Du das nicht doch lieber über Parameter machen willst.
with DM_Query_XYZ do
begin QueryInsert.Close; QueryInsert.SQL[0] := 'INSERT INTO ' + Tabelle + ''; QueryInsert.SQL[1] := '(' + Spalten + ')'; QueryInsert.SQL[2] := 'VALUES(' + AnsiReplaceText(Werte,'''','''''') + ')'; QueryInsert.ExecSQL; end;
Delphi-Quellcode:
Hat bei mir soeben funktioniert.
procedure Datensatz_insert(Query : TAdoQuery;Werte: tStringList; Spalten: tStringList; Tabelle: String);
Var i : Integer; sParams : String; sSpalten : String; begin if Werte.Count <> Spalten.Count then begin ShowMessage('Keine Übereinstimmung im Werte-/Spaltenpaar.'); Exit; end; Query.Close; Query.SQL.Clear; sParams := ''; sSpalten := ''; for i := 0 To Werte.Count - 1 Do begin if i = Werte.Count - 1 then begin sSpalten := sSpalten + Spalten[i]; sParams := sParams + ':' + Spalten[i]; Query.Parameters.AddParameter.Name := Spalten[i]; end else begin sSpalten := sSpalten + Spalten[i] + ','; sParams := sParams + ':' + Spalten[i] + ','; Query.Parameters.AddParameter.Name := Spalten[i]; end; End; Query.SQL.Add('Insert into ' + Tabelle + '('); Query.SQL.Add(sSpalten); Query.SQL.Add(') values ('); Query.SQL.Add(sParams); Query.SQL.Add(')'); for i := 0 To Werte.Count - 1 Do Query.Parameters[i].Value := Werte[i]; Query.ExecSQL; end; procedure TForm1.Button1Click(Sender: TObject); Var Werte : TStringList; Spalten : TStringList; begin Werte := TStringList.Create; Spalten := TStringList.Create; Werte.Add('Wert 1'); // Das könnte man ggfls. auch als Commaseperated übergeben Werte.Add('Wert 2'); Werte.Add('Wert 3'); Spalten.Add('Spalte1'); Spalten.Add('Spalte2'); Spalten.Add('Spalte3'); Datensatz_insert(QueryInsert, Werte, Spalten, 'Tabelle'); Werte.Free; Spalten.Free; end; |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 14:09 Uhr. |
Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024-2025 by Thomas Breitkreuz