Hallo,

SQLConnection.ExecuteDirect(FSQLCommandText);
hat doch keine Parameter-Option oder doch?

aus der Hilfe.

Mit ExecuteDirect können Sie eine SQL-Anweisung ohne Parameter ausführen. Sie umgehen auf diese Weise sowohl die Verwendung einer SQL-Datenmenge als auch die Vorbereitung der Anweisung. Wenn die Anweisung einen Cursor zurückgibt, führt ExecuteDirect sie aus, ohne einen Cursor zurückzugeben.

SQL ist die auszuführende Anweisung.

ExecuteDirect gibt 0 zurück, wenn die Anweisung erfolgreich ausgeführt wurde. Andernfalls wird ein dbExpress-Fehlercode zurückgeliefert.
Anmerkung: Verwenden Sie für SQL-Anweisungen, die Parameter enthalten oder einen Cursor zurückgeben, die Methode Execute.

Stimmt. Eigentlich wäre SQLConnection.Execute die bessere Wahl. Aber ich denke für meinen einfachen Zweck ist es auch so ok. Sind ja nicht wirklich Parameter bei mir.

Hallöle...
Ein "vergessener" Parameter reicht schon für SQL Injection aus... Lieber gleich richtig...

Stimmt auch wieder
Aber in diesem Fall nutze nur ich das Programm als kleines Hilfsmittel zur Erfassung.

Sorry Leute, aber bin ich irgendwie Blöd? Muss man in SQL nicht die Pascal-Strings verwenden?
Also mit ' und nicht mit "...? Das nur am Rande, ich kenne mich mit Delphi SQL-API Zeugs nicht so gut aus.

Außerdem empfehle ich persönlich die AUTO_INCREMENT-Option bei IDs. Das macht es deutlich leichter, da man auch im nachhinein noch Einträge einfügen kann, ohne die höcchste ID zu kennen. Geht allerdings nur bei UNIQUE bzw. PRIMARY-Spalten. Auch würde ich persöhnlich zur Fehlervermeidung empfehlen, alle Strings in SQL in Anführungszeichen zu packen. Denn wenn der Spalten-/Zeilenbezeichner oder der Kästchenwert Leerzeichen oder andere reservierte Zeichen/Ausdrücke enthält (wieso auch immer) dann kriegst du einen Fehler oder noch schlimmer, es wird eine falsche Anfrage ausgeführt.

@Dennis:

Also wenn ich sowas mache und keine Parameter verwende, dann nutze ich QuotedStr. Damit hab' ich dann immer das Richtige, ohne weiter drüber nachdenken zu müssen.

So kann man auch recht einfach SQL-Scripte erstellen, die man dann später mit anderen Mitteln, über irgendeine Datenbankoberfläche ... in die Datenbank "jagen" kann.

Naja, wie du hier ja lesen kannst, macht QuotedStr ja nichts außer den String in ' zu packen. Nur warem im ersten Beitrag ja normale Anfhrungszeichen (") zu sehen:
Und das ist meines Wissens nach in alle SQL-Dialekten falsch. Es gibt meines Wissens nach kein gängiges SQL, das nicht die Pascal-Strings verwendet, also Apostrophe ('). SQL müsste als bei " einen Fehler ausgeben.

Außerdem bleibt hier immer noch das Problem, dass falls der String selbst Zeichen wie ' enthält, diese so noch nicht "escaped" werden. Das muss man noch über eine Kodierungs-/Dekodierungs-Routine machen. Ansonsten kriegst du nämlich wurstsalat wenn dein String zum Beispiel ' Zeichen enthält.

Außerdem musst du darauf achten, dass du AnsiQuotedStr bei Multibyte-Strings benutzt.