AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Zurück Delphi-PRAXiS Programmierung allgemein Datenbanken SQL-Statement doesn't return rows

SQL-Statement doesn't return rows

Ein Thema von Khanysha · begonnen am 22. Sep 2016 · letzter Beitrag vom 23. Sep 2016
Antwort Antwort
Seite 3 von 4     123 4   
Benutzerbild von p80286
p80286

Registriert seit: 28. Apr 2008
Ort: Stolberg (Rhl)
6.659 Beiträge
 
FreePascal / Lazarus
 
#21

AW: SQL-Statement doesn't return rows

  Alt 22. Sep 2016, 19:56
Hallöle...

wenn ich höre "SQL Statements vom User eingeben zu lassen" kriege ich Pick... Wenn du das nur als dein Testprogramm zum üben benutzt, dann ist alles gut.

Der Knackpunkt ist: SQL Injection Da solltest du dich mal schlau machen was das ist.
Deshalb sollte man auch immer Parameter in den Statements verwenden.
Wenn ich das richtig verstanden habe, geht es um eine Oberfläche um SQL-Statements ab zu setzen. Das wäre dann gewollte Injection.

Das mit dem SELECT am Anfang ist nicht immer richtig (und ziemlich frustrierend wenn ein Programm für ein paar K€ das nicht weiß)

@Khanysha
Was hast du vor? Nicht das wir Dich mit irgendwelchen guten Ratschlägen in die Wüste schicken.

Gruß
K-H
Programme gehorchen nicht Deinen Absichten sondern Deinen Anweisungen
R.E.D retired error detector
  Mit Zitat antworten Zitat
nahpets
(Gast)

n/a Beiträge
 
#22

AW: SQL-Statement doesn't return rows

  Alt 22. Sep 2016, 20:29
Das wäre dann gewollte Injection.
Schöne Formulierung

Das mit dem SELECT am Anfang ist nicht immer richtig (und ziemlich frustrierend wenn ein Programm für ein paar K€ das nicht weiß)
Naja, wenn ich mir zum Lernen eine Datenbankoberfläche schreibe, dann kann ich mir merken: "Wenn am Anfang "Select" steht, bekomme ich eine Ergebnismenge, sonst nicht." Da reicht so eine Unterscheidung vollkommen aus.

@Khanysha
Was hast du vor? Nicht das wir Dich mit irgendwelchen guten Ratschlägen in die Wüste schicken.
Mein Eindruck ist, dass wir hier durch unsere Diskussion schon so einiges an Sand ausgestreut haben. Hoffentlich geht das nicht ins Auge

Und beim Lernen des Umganges mit Datenbanken und SQL würd' ich mir erstmal keinen Kopp um "SQL Injection" machen.

Wenn's irgendwann mal an professionelle Datenbanksoftware geht, die auf die Menschheit "losgelassen" werden soll, dann wird das ein Thema, aber nicht, wenn's um's Erlernen von Datenbankgrundlagen und deren Nutzung mit Delphi geht.
Das halt' ich für deutlich übertrieben!
  Mit Zitat antworten Zitat
Khanysha

Registriert seit: 11. Jun 2015
Ort: Dunkeldeutschland
23 Beiträge
 
Delphi 7 Professional
 
#23

AW: SQL-Statement doesn't return rows

  Alt 23. Sep 2016, 08:29
Guten Morgen zusammen,
mit dem Sand kann ich umgehen *Sandburg bau*
Mein Vorhaben ist mit einer kleinen Datenbankanbindung den Umgang mit eben dieser zu lernen. Ich gebe meine SQL-Anweisungen selber ein um zu schauen ob das auch so tut wie es soll. Macht es das nicht geht es auf die Suche nach dem Fehler. Es ist ein Testprojekt, wo nur ich Zugriff drauf habe. Später, wenn ich dann mal "soweit" bin, soll das ganze in ein größeres Projekt gebaut werden. Da geht es später um eine Adressverwaltung und noch ein paar anderen Kleinigkeiten und nein es ist kein Adressbuch

Ich werde dennoch mal was über die SQL-Injection lesen, nicht sofort aber ich werde lesen. Nun schwinge ich mich an mein Projekt und probiere die verschiedenen Dinge aus

LG
Lizzy
  Mit Zitat antworten Zitat
Khanysha

Registriert seit: 11. Jun 2015
Ort: Dunkeldeutschland
23 Beiträge
 
Delphi 7 Professional
 
#24

AW: SQL-Statement doesn't return rows

  Alt 23. Sep 2016, 08:49
Als Beispiel:
Delphi-Quellcode:
qry.sql.text := memo.text;
if AnsiLowerCase(Copy(qry.sql.text,1,6)) = 'selectthen begin
  qry.Open;
end else begin
  qry.ExceSQL;
end;
StatusBar.SimpleText := Format('Von der Abfrage waren %d Zeilen betroffen.',[qry.RowsAffected]);
Getestet und funktioniert Nun probiere ich die anderen Sachen aus



Das mit dem SELECT am Anfang ist nicht immer richtig (und ziemlich frustrierend wenn ein Programm für ein paar K€ das nicht weiß)
Kannst du mir das genauer erklären? Es soll doch nur für SELECT OPEN genommen werden, hab ich am Anfang einer Anweisung nicht SELECT oder die anderen stehen? Also kann ich das auch verdrehen oder gar verschachteln?
LG
Lizzy

Geändert von Khanysha (23. Sep 2016 um 09:01 Uhr)
  Mit Zitat antworten Zitat
mkinzler
(Moderator)

Registriert seit: 9. Dez 2005
Ort: Heilbronn
39.858 Beiträge
 
Delphi 11 Alexandria
 
#25

AW: SQL-Statement doesn't return rows

  Alt 23. Sep 2016, 09:29
Verdrehen nicht aber verschachteln oder Klammern.
Markus Kinzler
  Mit Zitat antworten Zitat
Morphie

Registriert seit: 27. Apr 2008
Ort: Rahden
630 Beiträge
 
#26

AW: SQL-Statement doesn't return rows

  Alt 23. Sep 2016, 09:29
Es gibt auch noch diverse andere SQL-Befehle, die dir Daten zurück liefern.
z.B. INSERT mit einer entsprechenden Returning-Clause: http://firebirdsql.org/refdocs/langr...sert-returning

Die Regel "wenn select dann open und sonst execsql" ist grundlegend falsch.
  Mit Zitat antworten Zitat
mkinzler
(Moderator)

Registriert seit: 9. Dez 2005
Ort: Heilbronn
39.858 Beiträge
 
Delphi 11 Alexandria
 
#27

AW: SQL-Statement doesn't return rows

  Alt 23. Sep 2016, 09:32
Füt seienn Zweck extra einen komplexen Parser zu Schreiben, wäre aber mit Atomraketen auf Ameisen geschossen.
Markus Kinzler
  Mit Zitat antworten Zitat
jobo

Registriert seit: 29. Nov 2010
3.072 Beiträge
 
Delphi 2010 Enterprise
 
#28

AW: SQL-Statement doesn't return rows

  Alt 23. Sep 2016, 09:37
Ich vermute p80286 findet es traurig, dass die Komponenten nicht "von allein" erkennen, welche Form (Datenabfrage oder Befehl) verwendet wird.

Die Interpretation mittels
Code:
AnsiLowerCase(Copy(qry.sql.text,1,6)) = 'select'
funktioniert natürlich, aber eben nur genau dann, wenn es genauso im String drin steht. Was nötig wäre, um es "wasserdicht" zu machen wäre ein parsind (Parser) für diesen String und das ist nicht unbedingt anfänger Stoff.
Nur mal als Idee:
"select" ist nicht das gleiche wie
Code:
 Select ..
(voranstehendes Leerzeichen)
Code:
-- Kommentar: jetzt die Menge abfragen
select ..
Code:

select ..
(voranstehende Leerzeile)
Ein Parser könnte man verwenden, um den SQL String zu analysieren und festzustellen, welche Form im SQL String steht und anhand dessen entscheiden, ob "OPEN" oder "EXECUTE" verwendet wird.

Wenn Du die Erkennung mittels "copy(1,6)" verwendest, wirst Du sicher bald mal darüber stolpern, wenn Du versehentlich ein Leerzeichen vor dem Select stehen hast oder sowas.

Aber mach Dich nicht verrückt deswegen. Softwareentwicklung ist nicht immer eine Frage von Richtig/Falsch. Häufig geht es um Aufwand und Nutzen. Der Grad der Umsetzung wird gelegentlich damit beschrieben, dass 10% Aufwand 90% Nutzen bringen, der restliche Aufwand (90%) für die letzen 10% Nutzen drauf geht. (So ungefähr, dazu gibt es glaube ich unter bestimmten Begriffen auch wissenschaftliche Untersuchungen)
Gruß, Jo
  Mit Zitat antworten Zitat
jobo

Registriert seit: 29. Nov 2010
3.072 Beiträge
 
Delphi 2010 Enterprise
 
#29

AW: SQL-Statement doesn't return rows

  Alt 23. Sep 2016, 09:37
Füt seienn Zweck extra einen komplexen Parser zu Schreiben, wäre aber mit Atomraketen auf Ameisen geschossen.
Genau!
Gruß, Jo
  Mit Zitat antworten Zitat
Morphie

Registriert seit: 27. Apr 2008
Ort: Rahden
630 Beiträge
 
#30

AW: SQL-Statement doesn't return rows

  Alt 23. Sep 2016, 09:38
Das Fangen der Exception wäre aber eine zumutbare Option, finde ich.
  Mit Zitat antworten Zitat
Themen-Optionen Thema durchsuchen
Thema durchsuchen:

Erweiterte Suche
Ansicht

Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 22:33 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz