Der erste String fängt mit ''' an, also endet er auch mit '''
und der Zweite muß natürlich auch mit einer ungeraden Anzahl beginnen, so wie er endet.
Delphi-Quellcode:
y := 'Test';
x := '''
Select *
From adress
Where x=''' + y + '''
''';
oder
Delphi-Quellcode:
y := 'Test';
x := '''
Select *
From adress
Where x=:y
'''.Replace(':y', y);
Aber ganz im Ernst.
SOWAS MACHT MAN NICHT
Wenn
SQL, dann NIEMALS Parameter im Code zusammenbauen/ersetzen,
sondern
SQL-Parameter nutzen und Y in der
SQL-Komponente setzen/zuweisen.
Code-Injection
