Parameterverwendung bei DB-, Feld- und Tabellennamen

**joachimd**

Nimm ein Makro:

https://www.devart.com/mydac/docs/?work_macros.htm

Ääähhhh, sorry für meine Unwissenheit, aber wenn auf der Clientseite der Tabellenname mit einem Macro ersetzt wird, kann es doch trotzdem noch zu SQL Injection kommen!? Oder ist die Macro-Funktion schlau genug, das zu erkennen?
Falls nicht würde ich den eingegebenen Text anhand von System-Tabellen verifizieren
(gibt es eine Tabelle, dessen Text gleich ist wie der eingegebene) und es dann wie im Usprungspost selbst ersetzen.

**Uwe Raabe**

Zitat von joachimd:

Ääähhhh, sorry für meine Unwissenheit, aber wenn auf der Clientseite der Tabellenname mit einem Macro ersetzt wird, kann es doch trotzdem noch zu SQL Injection kommen!? Oder ist die Macro-Funktion schlau genug, das zu erkennen?

Das kann ich aufgrund fehlender Einblicke in die MyDAC-Sourcen nicht beurteilen (also ebenso unwissend), aber der Einwand ist natürlich durchaus berechtigt. Zumindest kann man vorher überprüfen, ob der in das Makro einzusetzende Wert die Vorgaben für einen validen Bezeichner erfüllt.

**freejay**

Zitat von joachimd:

Ääähhhh, sorry für meine Unwissenheit, aber wenn auf der Clientseite der Tabellenname mit einem Macro ersetzt wird, kann es doch trotzdem noch zu SQL Injection kommen!?

Ja, davon gehe ich aus. Aber erstens war das mit dem Tabellennamen nur ein in meiner Praxis nicht vorkommendes Beispiel und zweitens ging es mir zusätzlich um einen "objektmäßigeren" Code - also nicht immer diese String-/Format-Pfriemeleien - auch wenn SQL natürlich per se eher textlastig is...

Die Benutzung von Parametern verhindert allerdings meines Wissens nach sicher SQL-Injections.

**mkinzler**

Wenn diese vom DBMS direkt unterstützt werden und nicht von der Zugriffsschicht emuliert werden.

**Jumpy**

Zitat von freejay:

Zitat von joachimd:

Ääähhhh, sorry für meine Unwissenheit, aber wenn auf der Clientseite der Tabellenname mit einem Macro ersetzt wird, kann es doch trotzdem noch zu SQL Injection kommen!?

Ja, davon gehe ich aus. Aber erstens war das mit dem Tabellennamen nur ein in meiner Praxis nicht vorkommendes Beispiel und zweitens ging es mir zusätzlich um einen "objektmäßigeren" Code - also nicht immer diese String-/Format-Pfriemeleien - auch wenn SQL natürlich per se eher textlastig is...

Die Benutzung von Parametern verhindert allerdings meines Wissens nach sicher SQL-Injections.

Wir haben und da mal eine Klasse TSQL gebastelt, mit der man auf Basis einer Stringliste SQL-Statements zusammen bauen konnte. "Add" wurde als Property realisiert, damit man auf die Klammern verzichten konnte, das machte das im Quelltext lesbarer. Gleichzeitig gab es diverse Hilfsfunktionen für verschiedene Datenbanken. Dabei ging es hauptsächlich um das angenehme, lesbare zusammenbauen der SQL-Statements, ein paar Sachen waren drin um SQL-Injektion zu verhindern, es wurde aber trotzdem auch mit Parametern gearbeitet:

zusammenfalten · markieren

Delphi-Quellcode:

			function SQL_Beispiel:String;

var s:TSQL;

begin

  s:=TSQL.Create;

  s.Add := 'Select';

  s.Add := '  Wert1,';

  s.Add := '  Wert2,';

  s.Add := '  Wert3';

  s.Add := 'From';

  s.Add := '  Tabelle';

  s.Add := 'Where';

  s.Add := '  Wert4 = ' + s.oracleStr('Suchstring');  // sowas wie QuotedStr

  s.Add := '  and Wert5 > ' + s.oracleDateOfStr('01.12.2015');  // würde zu To_Date('01.12.2015','dd.mm.yyyy')

  Result:=s.Text;

  //s.Show //zum Anzeigen des Statements in einem Memo eines kleinen Popup-Forms.

  s.Free;

end;

**Uwe Raabe**

Zitat von Jumpy:

Wir haben und da mal eine Klasse TSQL gebastelt, mit der man auf Basis einer Stringliste SQL-Statements zusammen bauen konnte. "Add" wurde als Property realisiert, damit man auf die Klammern verzichten konnte, das machte das im Quelltext lesbarer.

Das würde man heute auch mit einer bordeigenen TStringList vielleicht sogar noch etwas eleganter hinkriegen:

zusammenfalten · markieren

Delphi-Quellcode:

			type

  TOracleHelper = class helper for TStrings

  public

    function oracleStr(const value: string): string;

    function oracleDateOfStr(const value: string): string;

  end;

function SQL_Beispiel: String;

var

  s: TStringList;

begin

  s := TStringList.Create;

  try

    s.AddStrings([

       'Select',

       ' Wert1,',

       ' Wert2,',

       ' Wert3',

       'From',

       ' Tabelle',

       'Where',

       ' Wert4 = ' + s.oracleStr('Suchstring'),

       ' and Wert5 > ' + s.oracleDateOfStr('01.12.2015')

       ]);

    Result := s.Text;

  finally

    s.Free;

  end;

end;

**Jumpy**

Im alten D6 geht das so glaub ich leider noch nicht. Auch fehlen der Stringlist ja die schönen Umwandelfunktionen. Wobei man die in dem Beispiel gezeigten ja auch nicht wirklich braucht, wenn man stattdessen mit Parametern arbeitet, insofern kann man sich bei neueren Delphis durchaus die Mühe einer eigenen Klasse sparen.

Nur aus Neugier:
Wie funktiert das eigentlich mit dem Datum als Parameter, wenn man das gewohnte deutsche Datumsformat im String hat "15.03.2013" die Datenbank aber intern mit US-Schema arbeitet?

**Mavarik**

Zitat von Jumpy:

Nur aus Neugier:
Wie funktiert das eigentlich mit dem Datum als Parameter, wenn man das gewohnte deutsche Datumsformat im String hat "15.03.2013" die Datenbank aber intern mit US-Schema arbeitet?

Überlass doch der Datenbank die Speicherung...

Zitat von freejay:

markieren

Code:

			MyQuery.SQL.Text := 'SELECT * FROM :TabName;';

MyQuery.ParamByName('TabName').AsString := TabellenName;

MyQuery.Open;

Fast... Beispiel INSERT mit Datum

markieren

Delphi-Quellcode:

			MyQuery.SQL.Text := 'INSERT INTO FooTable (FooDate,FooStr,FooInt) VALUES (:1,:2,:3);';

MyQuery.Params[0].AsDateTime := NOW; // Funktioniert nur, wenn FooDate in der Datenbank ein DateTime-Feld ist.

MyQuery.Params[1].AsString   := 'Die Frage aller Fragen:';

MyQuery.Params[2].AsInteger  := 42;

Mavarik

Oder war das nicht die Frage?

**Jumpy**

Zitat von Mavarik:

Oder war das nicht die Frage?

Doch, nur machst du es dir mit NOW() einfach. Wie sieht es bei einem Datum, dass mir im Programm als String vorliegt aus? Muss da Delphi die Umwandlung machen?

markieren

Delphi-Quellcode:

			MyQuery.Params[0].AsDateTime := StrToDatetime('15.03.2013'); //?? Da müssen aber die FormatSettingspassen oder?

MyQuery.Params[0].AsString := '15.03.2013'; //Was müsste wo eingestellt werden, damit das klappt?

**Uwe Raabe**

Zitat von Jumpy:

Im alten D6 geht das so glaub ich leider noch nicht.

Das wir die eigentliche Intention meines Beitrags

Zitat von Jumpy:

Auch fehlen der Stringlist ja die schönen Umwandelfunktionen.

Das wiederum wollte ich mit dem Class helper demonstrieren.

Parameterverwendung bei DB-, Feld- und Tabellennamen

AW: Parameterverwendung bei DB-, Feld- und Tabellennamen

AW: Parameterverwendung bei DB-, Feld- und Tabellennamen

AW: Parameterverwendung bei DB-, Feld- und Tabellennamen

AW: Parameterverwendung bei DB-, Feld- und Tabellennamen

AW: Parameterverwendung bei DB-, Feld- und Tabellennamen

AW: Parameterverwendung bei DB-, Feld- und Tabellennamen

AW: Parameterverwendung bei DB-, Feld- und Tabellennamen

AW: Parameterverwendung bei DB-, Feld- und Tabellennamen

AW: Parameterverwendung bei DB-, Feld- und Tabellennamen

AW: Parameterverwendung bei DB-, Feld- und Tabellennamen

Forumregeln

mkinzler (Moderator) Registriert seit: 9. Dez 2005 Ort: Heilbronn 39.877 Beiträge Delphi 11 Alexandria	#4 AW: Parameterverwendung bei DB-, Feld- und Tabellennamen 14. Jan 2016, 14:47 Wenn diese vom DBMS direkt unterstützt werden und nicht von der Zugriffsschicht emuliert werden. Markus Kinzler
	Zitat