Parameterverwendung bei DB-, Feld- und Tabellennamen
 

Hallo zusammen,

ich habe früher meine SQL-Statements immer über den Formatbefehl zusammengesetzt, z.B.:
Da dies Methode ziemlich unsicher ist, wenn der Tabellenname beispielsweise von einem User eingetippt werden kann (Stichwort "SQL-Injection"), möchte ich künftig lieber sauber mit Parametern arbeiten. Bei Values - z.B. in Where-Bedingungen - ist das auch gar kein Problem. Aber bei Feld-, DB- und Tabellennamen funktioniert das scheinbar nicht. Beispiel:
Das führt zu einem Fehler, da der Tabellenname offenbar mit führendem und schließendem Hochkomma in das SQL-Staement eingebaut wird.
:TabName in die bei Feld- und Tabellennamen üblichen Hochkommas zusetzen (`:TabName`), hilft auch nicht...

Übersehe ich da was oder funktionieren DB-, Tabellen- und Feldnamen einfach nicht über Parameter?

Danke im Voraus!

Freejay

AW: Parameterverwendung bei DB-, Feld- und Tabellennamen
 

Nimm ein Makro: https://www.devart.com/mydac/docs/?work_macros.htm

AW: Parameterverwendung bei DB-, Feld- und Tabellennamen
 

Du kannst lediglich Werte parametrisieren, aber keine (Tabellen-, Feld- oder sonstigen) Bezeichner, das hast Du richtig erkannt.

AW: Parameterverwendung bei DB-, Feld- und Tabellennamen
 

"Macro" ist ja dafür ein komischer Name, aber das ist genau das, was ich brauche! ;-)

Dank Euch!

AW: Parameterverwendung bei DB-, Feld- und Tabellennamen
 

Warum komisch, es ist ja eine Makroersetzung innerhalb der Clientkomponenten.

AW: Parameterverwendung bei DB-, Feld- und Tabellennamen
 

Ich verstehe und einem Makro ungefähr folgendes:
[Quelle: Wikipedia]

Für mich hat das Ersetzen von bestimmten kleinen Strings in einem größeren String durch andere kleine Strings mit dem wie oben verstandenen Begriff "Makro" nicht viel zu tun.

Aber das darf natürlich jeder beliebig anders sehen! ;-)

AW: Parameterverwendung bei DB-, Feld- und Tabellennamen
 

Ääähhhh, sorry für meine Unwissenheit, aber wenn auf der Clientseite der Tabellenname mit einem Macro ersetzt wird, kann es doch trotzdem noch zu SQL Injection kommen!? Oder ist die Macro-Funktion schlau genug, das zu erkennen?
Falls nicht würde ich den eingegebenen Text anhand von System-Tabellen verifizieren
(gibt es eine Tabelle, dessen Text gleich ist wie der eingegebene) und es dann wie im Usprungspost selbst ersetzen.

AW: Parameterverwendung bei DB-, Feld- und Tabellennamen
 

Das kann ich aufgrund fehlender Einblicke in die MyDAC-Sourcen nicht beurteilen (also ebenso unwissend), aber der Einwand ist natürlich durchaus berechtigt. Zumindest kann man vorher überprüfen, ob der in das Makro einzusetzende Wert die Vorgaben für einen validen Bezeichner erfüllt.

AW: Parameterverwendung bei DB-, Feld- und Tabellennamen
 

Ja, davon gehe ich aus. Aber erstens war das mit dem Tabellennamen nur ein in meiner Praxis nicht vorkommendes Beispiel und zweitens ging es mir zusätzlich um einen "objektmäßigeren" Code - also nicht immer diese String-/Format-Pfriemeleien - auch wenn SQL natürlich per se eher textlastig is... ;-)

Die Benutzung von Parametern verhindert allerdings meines Wissens nach sicher SQL-Injections.

AW: Parameterverwendung bei DB-, Feld- und Tabellennamen
 

Wenn diese vom DBMS direkt unterstützt werden und nicht von der Zugriffsschicht emuliert werden.