ExtractStrings und '

**Bummi**

Delphi-Quellcode:

			  Stringlist.Delimiter:=';';

  Stringlist.StrictDelimiter:= true;

  Stringlist.DelimitedText :='El''Barto;Evergreen Terrece;Springfield;01.04.1982'

**Maya**

Zitat von Bummi:

markieren

Delphi-Quellcode:

			  Stringlist.Delimiter:=';';

  Stringlist.StrictDelimiter:= true;

  Stringlist.DelimitedText :='El''Barto;Evergreen Terrece;Springfield;01.04.1982'

Danke dir! Auf die Funktion wäre ich nie gekommen!
Jetzt muss ich nur noch 'ne Lösung dafür finden, dass das einzelne Anführungszeichen bei "El'Barto" auch einzeln bleibt für den SQL-Quelltext.

**jaenicke**

Zitat von Maya:

Jetzt muss ich nur noch 'ne Lösung dafür finden, dass das einzelne Anführungszeichen bei "El'Barto" auch einzeln bleibt für den SQL-Quelltext.

Wie meinst du das? Eigentlich sollte das bei DelimitedText nicht verändert werden.

CSV-Dateien kann man fast immer mit einem Bulk Insert in die Zieldatenbank pusten. Das geht verdammt schnell. Wo soll's denn hingehen, also welches RDMBS ist das Ziel?

**Maya**

Zitat von jaenicke:

Zitat von Maya:

Jetzt muss ich nur noch 'ne Lösung dafür finden, dass das einzelne Anführungszeichen bei "El'Barto" auch einzeln bleibt für den SQL-Quelltext.

Wie meinst du das? Eigentlich sollte das bei DelimitedText nicht verändert werden.

Die DB meckert beim INSERT, dass das ' als schließendes Anführungszeichen angesehen wird und deswegen für den Reste in falscher Syntax entsteht. Aber ich hab schon 'n Tipp vom Kollegen bekommen, was ich mal ausprobieren soll.

Zitat von Furtbichler:

CSV-Dateien kann man fast immer mit einem Bulk Insert in die Zieldatenbank pusten. Das geht verdammt schnell. Wo soll's denn hingehen, also welches RDMBS ist das Ziel?

Das die CSV einfach auf die DB gepackt werden sollen, geht nicht so einfach, da wir ja von verschiedenen Stellen die bekommen und die immer anders aufgebaut sind und die Spalten anders heißen, durcheinander sind usw. ... Hab auch eben mitbekommen, dass bei einer Datei falsche Angaben in einer Spalte sind. Muss mir da jetzt auch noch was einfallen lassen. -.-
Ich hoffe, ich habe dich so richtig verstanden, was du meintest.

**jaenicke**

Zitat von Maya:

Die DB meckert beim INSERT, dass das ' als schließendes Anführungszeichen angesehen wird und deswegen für den Reste in falscher Syntax entsteht.

Ich würde dir raten Parameter zu benutzen. Dann wird das intern automatisch escaped.

// EDIT:

http://docwiki.embarcadero.com/Libra...ms.ParamByName

**Maya**

Zitat von jaenicke:

Zitat von Maya:

Die DB meckert beim INSERT, dass das ' als schließendes Anführungszeichen angesehen wird und deswegen für den Reste in falscher Syntax entsteht.

Ich würde dir raten Parameter zu benutzen. Dann wird das intern automatisch escaped.

Einmal bekam ich den Tipp oder das, was ich jetzt nutze sind doppelte Anführungszeichen, also ". Die nehme ich einfach als Begrenzung für Char-Werte oder so in dem Befehl. Dann ignoriert er die einfachen.
EDIT: Keine Sorgen, hab schon oft mit Parametern gearbeitet, gerade wenn es etwas dynamischer sein soll.

So, das Problem gelöst, fehlen noch drei weitere.

Ich hasse die Phase der Tests auf Herz und Nieren. -.-

**Bummi**

Zitat:

Ich hasse die Phase der Tests auf Herz und Nieren

, ist die spannendste ...

**Valle**

Zitat von Maya:

Die DB meckert beim INSERT, dass das ' als schließendes Anführungszeichen angesehen wird und deswegen für den Reste in falscher Syntax entsteht.

Dir ist schon klar, dass du da einen ziemlich großen Anfängerfehler gemacht hast?

Das ist eine häufige und gefährliche

Sicherheitslücke!

Sieh zu dass du das ernsthaft behoben bekommst und nicht drumherum bastelst.
Ich weiß nicht was das für ein Abschlussprojekt sein soll, aber ich würde sowas als Auditor nicht gut heißen!

Liebe Grüße,
Valentin

Würd mich ja noch mehr interessieren, wieviele solcher Auditoren die SQL injection überhaupt erkennen

Und wenn nicht, den Prüfling durchlassen und selbst nachsitzen

ExtractStrings und '

AW: ExtractStrings und '

AW: ExtractStrings und '

AW: ExtractStrings und '

AW: ExtractStrings und '

AW: ExtractStrings und '

AW: ExtractStrings und '

AW: ExtractStrings und '

AW: ExtractStrings und '

AW: ExtractStrings und '

AW: ExtractStrings und '

Forumregeln

Bummi Registriert seit: 15. Jun 2010 Ort: Augsburg Bayern Süddeutschland 3.470 Beiträge Delphi XE3 Enterprise	#1 AW: ExtractStrings und ' 28. Jun 2012, 06:50 markieren Delphi-Quellcode: Stringlist.Delimiter:=';'; Stringlist.StrictDelimiter:= true; Stringlist.DelimitedText :='El''Barto;Evergreen Terrece;Springfield;01.04.1982' Thomas Wassermann H₂♂ Das Problem steckt meistens zwischen den Ohren DRY DRY KISS H₂♂ (wenn bei meinen Snipplets nichts anderes angegeben ist Lizenz: WTFPL)
	Zitat

jaenicke Registriert seit: 10. Jun 2003 Ort: Berlin 9.962 Beiträge Delphi 12 Athens	#3 AW: ExtractStrings und ' 28. Jun 2012, 07:48 Zitat von Maya: Jetzt muss ich nur noch 'ne Lösung dafür finden, dass das einzelne Anführungszeichen bei "El'Barto" auch einzeln bleibt für den SQL-Quelltext. Wie meinst du das? Eigentlich sollte das bei DelimitedText nicht verändert werden. Sebastian Jänicke AppCentral
	Zitat

Furtbichler (Gast) n/a Beiträge	#4 AW: ExtractStrings und ' 28. Jun 2012, 07:56 CSV-Dateien kann man fast immer mit einem Bulk Insert in die Zieldatenbank pusten. Das geht verdammt schnell. Wo soll's denn hingehen, also welches RDMBS ist das Ziel?
	Zitat

Bummi Registriert seit: 15. Jun 2010 Ort: Augsburg Bayern Süddeutschland 3.470 Beiträge Delphi XE3 Enterprise	#8 AW: ExtractStrings und ' 28. Jun 2012, 08:55 Zitat: Ich hasse die Phase der Tests auf Herz und Nieren , ist die spannendste ... Thomas Wassermann H₂♂ Das Problem steckt meistens zwischen den Ohren DRY DRY KISS H₂♂ (wenn bei meinen Snipplets nichts anderes angegeben ist Lizenz: WTFPL)
	Zitat

blackfin (Gast) n/a Beiträge	#10 AW: ExtractStrings und ' 28. Jun 2012, 23:12 Würd mich ja noch mehr interessieren, wieviele solcher Auditoren die SQL injection überhaupt erkennen Und wenn nicht, den Prüfling durchlassen und selbst nachsitzen
	Zitat