AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Zurück Delphi-PRAXiS Programmierung allgemein Datenbanken Delphi Hochkomma entfernen -> INSERT INTO-Problem

Hochkomma entfernen -> INSERT INTO-Problem

Ein Thema von HolgerCW · begonnen am 7. Nov 2008 · letzter Beitrag vom 7. Nov 2008
Antwort Antwort
Seite 1 von 2  1 2   
HolgerCW

Registriert seit: 28. Nov 2006
Ort: Marl
1.207 Beiträge
 
Delphi XE7 Enterprise
 
#1

Hochkomma entfernen -> INSERT INTO-Problem

  Alt 7. Nov 2008, 10:10
Hallo zusammen,

wenn ich mit INSERT INTO ein Tupel in eine Tabelle einfügen möchte kommt immer der Fehler: "Rechtes Anführungszeichen fehlt", wenn ein VALUE mit einem Hochkomma dabei ist.

Wenn ich nun verscuhe mit Quotedstr Hochkommas dazuzufügen klappt das auch nicht.

Kann mir einer von euch sagen, wie ich entweder das Hochkomme in einem String gegen ein Leerzeichen austauschen kann, oder kennt jemand noch eine andere Lösung ?

Gruss

Holger
  Mit Zitat antworten Zitat
Benutzerbild von DeddyH
DeddyH

Registriert seit: 17. Sep 2006
Ort: Barchfeld
27.624 Beiträge
 
Delphi 12 Athens
 
#2

Re: Hochkomma entfernen -> INSERT INTO-Problem

  Alt 7. Nov 2008, 10:11
Zeig doch mal den Source, IIRC dürfte es bei parametrisierten Statements nicht zu diesem Problem kommen.
Detlef
"Ich habe Angst vor dem Tag, an dem die Technologie unsere menschlichen Interaktionen übertrumpft. Die Welt wird eine Generation von Idioten bekommen." (Albert Einstein)
Dieser Tag ist längst gekommen
  Mit Zitat antworten Zitat
Benutzerbild von Bernhard Geyer
Bernhard Geyer

Registriert seit: 13. Aug 2002
17.198 Beiträge
 
Delphi 10.4 Sydney
 
#3

Re: Hochkomma entfernen -> INSERT INTO-Problem

  Alt 7. Nov 2008, 10:12
Nimm parametrisierte Abfragen:

Delphi-Quellcode:
query.SQL.Add('INSERT INTO MyTabelle(Feld1) VALUES(:Feld1)');
query.Prepare;
query.ParamByName('Feld1').Asstring := MeinWertMitHochkomma;
query.Execute;
Und schon hast du keine Probleme mehr mit Hochkommas und SQL-Injection.
Windows Vista - Eine neue Erfahrung in Fehlern.
  Mit Zitat antworten Zitat
Benutzerbild von DeddyH
DeddyH

Registriert seit: 17. Sep 2006
Ort: Barchfeld
27.624 Beiträge
 
Delphi 12 Athens
 
#4

Re: Hochkomma entfernen -> INSERT INTO-Problem

  Alt 7. Nov 2008, 10:23
@Bernhard: 2 Doofe, ein Gedanke
Detlef
"Ich habe Angst vor dem Tag, an dem die Technologie unsere menschlichen Interaktionen übertrumpft. Die Welt wird eine Generation von Idioten bekommen." (Albert Einstein)
Dieser Tag ist längst gekommen
  Mit Zitat antworten Zitat
HolgerCW

Registriert seit: 28. Nov 2006
Ort: Marl
1.207 Beiträge
 
Delphi XE7 Enterprise
 
#5

Re: Hochkomma entfernen -> INSERT INTO-Problem

  Alt 7. Nov 2008, 10:37
Vielen dank für die Infos.

Habe da aber leider ein Problem. Ich nutze für mein ganzes Programm beim INSERT folgende Procedure:

Delphi-Quellcode:
procedure Datensatz_insert (Werte:String; Spalten:String; Tabelle:String);
begin

 with DM_Query_XYZ do
 begin
  QueryInsert.Close;
  QueryInsert.SQL[0] := 'INSERT INTO ' + Tabelle + '';
  QueryInsert.SQL[1] := '(' + Spalten + ')';
  QueryInsert.SQL[2] := 'VALUES(' + Werte + ')';
  QueryInsert.ExecSQL;
 end;

 DM_Query_XYZ.QueryCommit.ExecSQL;

end;
Wie könnte ich diese umbauen, damit es klappt ? Will jetzt nicht mein ganzes Programm ändern.

Gruss

Holger
  Mit Zitat antworten Zitat
Benutzerbild von Phoenix
Phoenix
(Moderator)

Registriert seit: 25. Jun 2002
Ort: Hausach
7.640 Beiträge
 
#6

Re: Hochkomma entfernen -> INSERT INTO-Problem

  Alt 7. Nov 2008, 11:09
Zitat von HolgerCW:
Vielen dank für die Infos.
Habe da aber leider ein Problem. Ich nutze für mein ganzes Programm beim INSERT folgende Procedure:
Wie könnte ich diese umbauen, damit es klappt ? Will jetzt nicht mein ganzes Programm ändern.
Aua. Dieser Code ist nicht nur ein Abmahnungsgrund, sondern sogar einer für eine fristlose Kündigung.

Was, wenn ein Benutzer z.B. bei einem der einzugebenden Werte folgendes eingibt:
Code:
; DROP TABLE nameeinerwichtigentabelle; --
?
Du öffnest damit dem einfachsten aller Angriffe, namentlich der SQL Injection, sämtliche Türen. Also. Umbauen auf Parameter und nirgends in der Anwendung auf die Idee kommen, SQL anhand von Benutzereingaben zusammenzubauen. Das ist das allerschlimmste was man tun kann.
Sebastian Gingter
Phoenix - 不死鳥, Microsoft MVP, Rettungshundeführer
Über mich: Sebastian Gingter @ Thinktecture Mein Blog: https://gingter.org
  Mit Zitat antworten Zitat
7. Nov 2008, 11:11
Dieses Thema wurde von "Phoenix" von "Object-Pascal / Delphi-Language" nach "Datenbanken" verschoben.
Ausserdem ist das ein Datenbank-Thema
Benutzerbild von Bernhard Geyer
Bernhard Geyer

Registriert seit: 13. Aug 2002
17.198 Beiträge
 
Delphi 10.4 Sydney
 
#8

Re: Hochkomma entfernen -> INSERT INTO-Problem

  Alt 7. Nov 2008, 11:22
Zitat von HolgerCW:
Vielen dank für die Infos.

Habe da aber leider ein Problem. Ich nutze für mein ganzes Programm beim INSERT folgende Procedure:
...
Wie könnte ich diese umbauen, damit es klappt ? Will jetzt nicht mein ganzes Programm ändern.
Wirst du müssen. und zwar das nach:

procedure Datensatz_insert (Werte: array of String; Spalten: array of String; Tabelle: String); und schon kannst du das prepared Statement dynamisch zusammenbauen und bist sicher.

Übrigens ist deine Vorgehenweise ein Argument wieso wir aktuell unsere CRM-System rausschmeißen. Aufgrund einer Ähnlichen vorgehensweise führen Hochkommas an diversen Stellen zu Nicht-Funktionieren der Systems. Ein evtl. angedachte browserbasierter Aktualisierung dieses Systems würde die DMZ unnötig machen da über SQL-Injection eine Lockerer Systemeinbruch möglich wäre.
Windows Vista - Eine neue Erfahrung in Fehlern.
  Mit Zitat antworten Zitat
Benutzerbild von Xong
Xong

Registriert seit: 9. Jan 2008
186 Beiträge
 
Delphi 2006 Professional
 
#9

Re: Hochkomma entfernen -> INSERT INTO-Problem

  Alt 7. Nov 2008, 11:27
Zitat von HolgerCW:
Vielen dank für die Infos.
Habe da aber leider ein Problem.
Wenn du den Code so lässt: Ja!

Den folgenden Code habe ich nicht getestet. Er sollte allerdings eine gute Grundlange bilden, wie du die Abfrage dynamisch und sicher zusammenbauen kannst.
Delphi-Quellcode:
procedure Datensatz_insert (Werte:TStrings; Spalten:TStrings; Tabelle:String);
var i: Integer;
    Values: TStrings;
begin
  Values := TStrings.Create;

  Spalten.Delimiter := ',';
  Spalten.QuoteChar := '';
  Values.Delimiter := ',';
  Values.QuoteChar := '';

  for i:=0 to Spalten.Count-1 do
    Values.Add(':' + Spalten[i]);

with DM_Query_XYZ do
begin
  QueryInsert.Close;
  QueryInsert.Add('INSERT INTO ' + Tabelle);
  QueryInsert.Add('(' + Spalten.DelimitedText + ')');
  QueryInsert.Add('VALUES(' + Values.DelimitedText + ')');
  
  QueryInsert.Prepare;

  for i:=0 to Spalten.Count-1 do
    QueryInsert.ParamByName(Spalten[i]).Asstring := Werte[i];

  QueryInsert.Execute;
end;
Beachte, dass sich die Typen der ersten beiden Parameter geändert haben.

LG,
Xong
  Mit Zitat antworten Zitat
nahpets
(Gast)

n/a Beiträge
 
#10

Re: Hochkomma entfernen -> INSERT INTO-Problem

  Alt 7. Nov 2008, 12:01
Hallo,

[OT]Xong war schneller als ich [/OT]

@HolgerCW

wenn Du es auf diese Art und Weise machen willst, musst Du wohl sowas machen:
Delphi-Quellcode:
with DM_Query_XYZ do
begin
  QueryInsert.Close;
  QueryInsert.SQL[0] := 'INSERT INTO ' + Tabelle + '';
  QueryInsert.SQL[1] := '(' + Spalten + ')';
  QueryInsert.SQL[2] := 'VALUES(' + AnsiReplaceText(Werte,'''','''''') + ')';
  QueryInsert.ExecSQL;
end;
Nichtsdestotrotz überleg' Dir, ob Du das nicht doch lieber über Parameter machen willst.

Delphi-Quellcode:
procedure Datensatz_insert(Query : TAdoQuery;Werte: tStringList; Spalten: tStringList; Tabelle: String);
Var
          i : Integer;
          sParams : String;
          sSpalten : String;
begin
  if Werte.Count <> Spalten.Count then begin
    ShowMessage('Keine Übereinstimmung im Werte-/Spaltenpaar.');
    Exit;
  end;
  Query.Close;
  Query.SQL.Clear;
  sParams := '';
  sSpalten := '';
  for i := 0 To Werte.Count - 1 Do begin
    if i = Werte.Count - 1 then begin
      sSpalten := sSpalten + Spalten[i];
      sParams := sParams + ':' + Spalten[i];
      Query.Parameters.AddParameter.Name := Spalten[i];
    end else begin
      sSpalten := sSpalten + Spalten[i] + ',';
      sParams := sParams + ':' + Spalten[i] + ',';
      Query.Parameters.AddParameter.Name := Spalten[i];
    end;
  End;
  Query.SQL.Add('Insert into ' + Tabelle + '(');
  Query.SQL.Add(sSpalten);
  Query.SQL.Add(') values (');
  Query.SQL.Add(sParams);
  Query.SQL.Add(')');
  for i := 0 To Werte.Count - 1 Do Query.Parameters[i].Value := Werte[i];
  Query.ExecSQL;
end;

procedure TForm1.Button1Click(Sender: TObject);
Var
  Werte : TStringList;
  Spalten : TStringList;
begin
  Werte := TStringList.Create;
  Spalten := TStringList.Create;
  Werte.Add('Wert 1'); // Das könnte man ggfls. auch als Commaseperated übergeben
  Werte.Add('Wert 2');
  Werte.Add('Wert 3');
  Spalten.Add('Spalte1');
  Spalten.Add('Spalte2');
  Spalten.Add('Spalte3');
  Datensatz_insert(QueryInsert, Werte, Spalten, 'Tabelle');
  Werte.Free;
  Spalten.Free;
end;
Hat bei mir soeben funktioniert.
  Mit Zitat antworten Zitat
Antwort Antwort
Seite 1 von 2  1 2   

Themen-Optionen Thema durchsuchen
Thema durchsuchen:

Erweiterte Suche
Ansicht

Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 17:45 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz