Hochkomma entfernen -> INSERT INTO-Problem

**HolgerCW**

Hallo zusammen,

wenn ich mit INSERT INTO ein Tupel in eine Tabelle einfügen möchte kommt immer der Fehler: "Rechtes Anführungszeichen fehlt", wenn ein VALUE mit einem Hochkomma dabei ist.

Wenn ich nun verscuhe mit Quotedstr Hochkommas dazuzufügen klappt das auch nicht.

Kann mir einer von euch sagen, wie ich entweder das Hochkomme in einem String gegen ein Leerzeichen austauschen kann, oder kennt jemand noch eine andere Lösung ?

Gruss

Holger

**DeddyH**

Zeig doch mal den Source, IIRC dürfte es bei parametrisierten Statements nicht zu diesem Problem kommen.

**Bernhard Geyer**

Nimm parametrisierte Abfragen:

markieren

Delphi-Quellcode:

			query.SQL.Add('INSERT INTO MyTabelle(Feld1) VALUES(:Feld1)');

query.Prepare;

query.ParamByName('Feld1').Asstring := MeinWertMitHochkomma;

query.Execute;

Und schon hast du keine Probleme mehr mit Hochkommas und SQL-Injection.

**DeddyH**

@Bernhard: 2 Doofe, ein Gedanke

**HolgerCW**

Vielen dank für die Infos.

Habe da aber leider ein Problem. Ich nutze für mein ganzes Programm beim INSERT folgende Procedure:

zusammenfalten · markieren

Delphi-Quellcode:

			procedure Datensatz_insert (Werte:String; Spalten:String; Tabelle:String);

begin

 with DM_Query_XYZ do

 begin

  QueryInsert.Close;

  QueryInsert.SQL[0] := 'INSERT INTO ' + Tabelle + '';

  QueryInsert.SQL[1] := '(' + Spalten + ')';

  QueryInsert.SQL[2] := 'VALUES(' + Werte + ')';

  QueryInsert.ExecSQL;

 end;

 DM_Query_XYZ.QueryCommit.ExecSQL;

end;

Wie könnte ich diese umbauen, damit es klappt ? Will jetzt nicht mein ganzes Programm ändern.

Gruss

Holger

**Phoenix**

Zitat von HolgerCW:

Vielen dank für die Infos.
Habe da aber leider ein Problem. Ich nutze für mein ganzes Programm beim INSERT folgende Procedure:
Wie könnte ich diese umbauen, damit es klappt ? Will jetzt nicht mein ganzes Programm ändern.

Aua. Dieser Code ist nicht nur ein Abmahnungsgrund, sondern sogar einer für eine fristlose Kündigung.

Was, wenn ein Benutzer z.B. bei einem der einzugebenden Werte folgendes eingibt:

markieren

Code:

; DROP TABLE nameeinerwichtigentabelle; --

?
Du öffnest damit dem einfachsten aller Angriffe, namentlich der SQL Injection, sämtliche Türen. Also. Umbauen auf Parameter und nirgends in der Anwendung auf die Idee kommen, SQL anhand von Benutzereingaben zusammenzubauen. Das ist das allerschlimmste was man tun kann.

**Bernhard Geyer**

Zitat von HolgerCW:

Vielen dank für die Infos.

Habe da aber leider ein Problem. Ich nutze für mein ganzes Programm beim INSERT folgende Procedure:
...
Wie könnte ich diese umbauen, damit es klappt ? Will jetzt nicht mein ganzes Programm ändern.

Wirst du müssen. und zwar das nach:

procedure Datensatz_insert (Werte: array of String; Spalten: array of String; Tabelle: String); und schon kannst du das prepared Statement dynamisch zusammenbauen und bist sicher.

Übrigens ist deine Vorgehenweise ein Argument wieso wir aktuell unsere CRM-System rausschmeißen. Aufgrund einer Ähnlichen vorgehensweise führen Hochkommas an diversen Stellen zu Nicht-Funktionieren der Systems. Ein evtl. angedachte browserbasierter Aktualisierung dieses Systems würde die DMZ unnötig machen da über SQL-Injection eine Lockerer Systemeinbruch möglich wäre.

**Xong**

Zitat von HolgerCW:

Vielen dank für die Infos.
Habe da aber leider ein Problem.

Wenn du den Code so lässt: Ja!

Den folgenden Code habe ich nicht getestet. Er sollte allerdings eine gute Grundlange bilden, wie du die Abfrage dynamisch und sicher zusammenbauen kannst.

zusammenfalten · markieren

Delphi-Quellcode:

			procedure Datensatz_insert (Werte:TStrings; Spalten:TStrings; Tabelle:String);

var i: Integer;

    Values: TStrings;

begin

  Values := TStrings.Create;

  Spalten.Delimiter := ',';

  Spalten.QuoteChar := '';

  Values.Delimiter := ',';

  Values.QuoteChar := '';

  for i:=0 to Spalten.Count-1 do

    Values.Add(':' + Spalten[i]);

with DM_Query_XYZ do

begin

  QueryInsert.Close;

  QueryInsert.Add('INSERT INTO ' + Tabelle);

  QueryInsert.Add('(' + Spalten.DelimitedText + ')');

  QueryInsert.Add('VALUES(' + Values.DelimitedText + ')');

  QueryInsert.Prepare;

  for i:=0 to Spalten.Count-1 do

    QueryInsert.ParamByName(Spalten[i]).Asstring := Werte[i];

  QueryInsert.Execute;

end;

Beachte, dass sich die Typen der ersten beiden Parameter geändert haben.

LG,
Xong

Hallo,

[OT]Xong war schneller als ich

[/OT]

@HolgerCW

wenn Du es auf diese Art und Weise machen willst, musst Du wohl sowas machen:

markieren

Delphi-Quellcode:

			with DM_Query_XYZ do 

begin 

  QueryInsert.Close; 

  QueryInsert.SQL[0] := 'INSERT INTO ' + Tabelle + ''; 

  QueryInsert.SQL[1] := '(' + Spalten + ')'; 

  QueryInsert.SQL[2] := 'VALUES(' + AnsiReplaceText(Werte,'''','''''') + ')'; 

  QueryInsert.ExecSQL; 

end;

Nichtsdestotrotz überleg' Dir, ob Du das nicht doch lieber über Parameter machen willst.

zusammenfalten · markieren

Delphi-Quellcode:

			procedure Datensatz_insert(Query : TAdoQuery;Werte: tStringList; Spalten: tStringList; Tabelle: String);

Var

          i        : Integer;

          sParams  : String;

          sSpalten : String;

begin

  if Werte.Count <> Spalten.Count then begin

    ShowMessage('Keine Übereinstimmung im Werte-/Spaltenpaar.');

    Exit;

  end;

  Query.Close;

  Query.SQL.Clear;

  sParams  := '';

  sSpalten := '';

  for i := 0 To Werte.Count - 1 Do begin

    if i = Werte.Count - 1 then begin

      sSpalten := sSpalten + Spalten[i];

      sParams  := sParams + ':' + Spalten[i];

      Query.Parameters.AddParameter.Name := Spalten[i];

    end else begin

      sSpalten :=  sSpalten + Spalten[i] + ',';

      sParams  := sParams + ':' + Spalten[i] + ',';

      Query.Parameters.AddParameter.Name := Spalten[i];

    end;

  End;

  Query.SQL.Add('Insert into ' + Tabelle + '(');

  Query.SQL.Add(sSpalten);

  Query.SQL.Add(') values (');

  Query.SQL.Add(sParams);

  Query.SQL.Add(')');

  for i := 0 To Werte.Count - 1 Do Query.Parameters[i].Value := Werte[i];

  Query.ExecSQL;

end;

procedure TForm1.Button1Click(Sender: TObject);

Var

  Werte   : TStringList;

  Spalten : TStringList;

begin

  Werte   := TStringList.Create;

  Spalten := TStringList.Create;

  Werte.Add('Wert 1');          // Das könnte man ggfls. auch als Commaseperated übergeben

  Werte.Add('Wert 2');

  Werte.Add('Wert 3');

  Spalten.Add('Spalte1');

  Spalten.Add('Spalte2');

  Spalten.Add('Spalte3');

  Datensatz_insert(QueryInsert, Werte, Spalten, 'Tabelle');

  Werte.Free;

  Spalten.Free;

end;

Hat bei mir soeben funktioniert.

Hochkomma entfernen -> INSERT INTO-Problem

Hochkomma entfernen -> INSERT INTO-Problem

Re: Hochkomma entfernen -> INSERT INTO-Problem

Re: Hochkomma entfernen -> INSERT INTO-Problem

Re: Hochkomma entfernen -> INSERT INTO-Problem

Re: Hochkomma entfernen -> INSERT INTO-Problem

Re: Hochkomma entfernen -> INSERT INTO-Problem

Re: Hochkomma entfernen -> INSERT INTO-Problem

Re: Hochkomma entfernen -> INSERT INTO-Problem

Re: Hochkomma entfernen -> INSERT INTO-Problem

Forumregeln

DeddyH Registriert seit: 17. Sep 2006 Ort: Barchfeld 27.542 Beiträge Delphi 11 Alexandria	#2 Re: Hochkomma entfernen -> INSERT INTO-Problem 7. Nov 2008, 09:11 Zeig doch mal den Source, IIRC dürfte es bei parametrisierten Statements nicht zu diesem Problem kommen. Detlef *"Ich habe Angst vor dem Tag, an dem die Technologie unsere menschlichen Interaktionen übertrumpft. Die Welt wird eine Generation von Idioten bekommen."* (Albert Einstein) Dieser Tag ist längst gekommen
	Zitat

DeddyH Registriert seit: 17. Sep 2006 Ort: Barchfeld 27.542 Beiträge Delphi 11 Alexandria	#4 Re: Hochkomma entfernen -> INSERT INTO-Problem 7. Nov 2008, 09:23 @Bernhard: 2 Doofe, ein Gedanke Detlef *"Ich habe Angst vor dem Tag, an dem die Technologie unsere menschlichen Interaktionen übertrumpft. Die Welt wird eine Generation von Idioten bekommen."* (Albert Einstein) Dieser Tag ist längst gekommen
	Zitat