AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Zurück Delphi-PRAXiS Programmierung allgemein Programmieren allgemein Delphi variabler Tabellenname in SQL-Abfrage

variabler Tabellenname in SQL-Abfrage

Ein Thema von Luca Haas · begonnen am 9. Okt 2017 · letzter Beitrag vom 10. Okt 2017
Antwort Antwort
Seite 1 von 2  1 2   
Luca Haas

Registriert seit: 23. Aug 2017
Ort: Bad Breisig
129 Beiträge
 
Delphi 10.2 Tokyo Enterprise
 
#1

variabler Tabellenname in SQL-Abfrage

  Alt 9. Okt 2017, 10:05
Hi Leute,
ich entwickle derzeit eine Suchfunktion, mit der ich eine Datenbank durchsuchen kann.
Dafür habe ich erst zwei Edits genommen, denen eine feste Spalte in der Tabelle zugewiesen (dass diese nur die eine Spalte durchsucht, was auch problemlos funktioniert
Delphi-Quellcode:
SQLBefehl := 'SELECT * FROM KST_Lagerbewertung';
if (Edit1.Text <> '') then
  SQLBefehl := SQLBefehl + (' WHERE Artikelbezeichnung LIKE ''' + StringReplace(Edit1.Text, '*', '%', [rfReplaceAll]) + '%''');
Jetzt versuche ich allerdings eine dritte Suchfunktion hinzuzufügen, wo der Spaltenname nicht vorgegeben ist, sondern durch eine ComboBox ausgewählt werden kann. Ich versuche den Spaltennamen über eine Variable (CB1Spalte) in die SQL-Abfrage einzugeben, allerdings weiß ich nicht wie ich der Abfrage klarmache, dass ich aktuell eine Variable benutze und diese nicht der Spaltenname ist
Delphi-Quellcode:
  if (Edit3.Text <> '') then
  begin
    CB1Spalte := ComboBox1.Text;
    SQLBefehl := SQLBefehl + (' WHERE ''CB1Spalte'' LIKE ''' + StringReplace(Edit3.Text, '+', '%', [rfReplaceAll]) + '%''');
  end;
Jetzt meine Frage, wie genau kann ich Delphi, bzw der SQL-Abfrage, klarmachen, dass CB1Soalte nur eine Variable ist und ich deren Wert benötige ?
  Mit Zitat antworten Zitat
jobo

Registriert seit: 29. Nov 2010
2.487 Beiträge
 
Delphi 2010 Enterprise
 
#2

AW: variabler Tabellenname in SQL-Abfrage

  Alt 9. Okt 2017, 10:11
Du kannst es der Abfrage nicht "klarmachen"
Der Spaltenname muss aus Deiner Komobox entnommen werden und im Klartext in die Abfrage eingebaut werden.

p.s.: dabei keine Hochkommata verwenden, sonst wird es für eine Textkonstante gehalten.
Gruß, Jo
  Mit Zitat antworten Zitat
Luca Haas

Registriert seit: 23. Aug 2017
Ort: Bad Breisig
129 Beiträge
 
Delphi 10.2 Tokyo Enterprise
 
#3

AW: variabler Tabellenname in SQL-Abfrage

  Alt 9. Okt 2017, 10:23
Wie entnehme ich den Spaltennamen den aus der Combobox, etwa mit Combobox1.Text ?
  Mit Zitat antworten Zitat
jobo

Registriert seit: 29. Nov 2010
2.487 Beiträge
 
Delphi 2010 Enterprise
 
#4

AW: variabler Tabellenname in SQL-Abfrage

  Alt 9. Okt 2017, 11:21
Ja, machst Du doch schon. Du musst die Variable halt auch so mit + (Textkokatenierung) einbinden, wie Deinen Suchwert (Den man im Übrigen besser als Parameter einbinden würde.
Aber alles der Reihe nach.
Gruß, Jo
  Mit Zitat antworten Zitat
Luca Haas

Registriert seit: 23. Aug 2017
Ort: Bad Breisig
129 Beiträge
 
Delphi 10.2 Tokyo Enterprise
 
#5

AW: variabler Tabellenname in SQL-Abfrage

  Alt 9. Okt 2017, 11:31
Es tut mir leid, aber so genau verstehe ich nicht wie du das mit dem + meinst. Ich programmiere noch nicht so lange und kenne das leider noch nicht
Delphi-Quellcode:
  begin
    CB1Spalte := ComboBox1.Text;
    SQLBefehl := SQLBefehl + (' WHERE +CB1Spalte+ LIKE ''%' + StringReplace(Edit3.Text, '*', '%', [rfReplaceAll]) + '%''');
  end;
Es sieht jetzt so aus, allerdings erhalte ich noch eine Fehlermeldung, wegen falscher Syntax in der Nähe von LIKE
  Mit Zitat antworten Zitat
Jumpy

Registriert seit: 9. Dez 2010
Ort: Mönchengladbach
1.549 Beiträge
 
Delphi 6 Enterprise
 
#6

AW: variabler Tabellenname in SQL-Abfrage

  Alt 9. Okt 2017, 11:35
Es tut mir leid, aber so genau verstehe ich nicht wie du das mit dem + meinst. Ich programmiere noch nicht so lange und kenne das leider noch nicht
Delphi-Quellcode:
  begin
    CB1Spalte := ComboBox1.Text;
    SQLBefehl := SQLBefehl + (' WHERE +CB1Spalte+ LIKE ''%' + StringReplace(Edit3.Text, '*', '%', [rfReplaceAll]) + '%''');
  end;
Es sieht jetzt so aus, allerdings erhalte ich noch eine Fehlermeldung, wegen falscher Syntax in der Nähe von LIKE
Delphi-Quellcode:
  begin
    CB1Spalte := ComboBox1.Text;
    SQLBefehl := SQLBefehl + (' WHERE '+CB1Spalte+' LIKE ''%' + StringReplace(Edit3.Text, '*', '%', [rfReplaceAll]) + '%''');
  end;
Ralph
  Mit Zitat antworten Zitat
Luca Haas

Registriert seit: 23. Aug 2017
Ort: Bad Breisig
129 Beiträge
 
Delphi 10.2 Tokyo Enterprise
 
#7

AW: variabler Tabellenname in SQL-Abfrage

  Alt 9. Okt 2017, 11:37
So klappt es, danke schön
  Mit Zitat antworten Zitat
nahpets
(Gast)

n/a Beiträge
 
#8

AW: variabler Tabellenname in SQL-Abfrage

  Alt 9. Okt 2017, 11:46
Suchst Du sowas in der Art? (Auch wenn's schon zu spät ist )
Delphi-Quellcode:
function CreateSQL(ATabellen : String; ASpalten : String; ASuchbegriff : String) : String;
var
  SQLSuchbegriff : String;
begin
  Result := Format('select * from %s',[ATabelle]);
  if (ASpalten <> '')
  and (ASuchbegriff <> '') then begin
    SQLSuchbegriff := Trim(ASuchbegriff);
    SQLSuchbegriff := StringReplace(SQLSuchbegriff, '*', '%', [rfReplaceAll]);
    SQLSuchbegriff := StringReplace(SQLSuchbegriff, '?', '_', [rfReplaceAll])
    SQLSuchbegriff := QuotedStr(SQLSuchbegriff + '%');
    Result := Format('%s where %s like %s',[Result,ASpalte,SQLSuchbegriff]);
  end;
end;

// Aufruf
SQLBefehl := CreateSQL(ComboBoxTabellennamen.Text, ComboBoxSpaltennamen.Text, EditSuchbegriff.Text);
  Mit Zitat antworten Zitat
Benutzerbild von himitsu
himitsu

Registriert seit: 11. Okt 2003
Ort: Elbflorenz
34.931 Beiträge
 
Delphi 10.2 Tokyo Professional
 
#9

AW: variabler Tabellenname in SQL-Abfrage

  Alt 9. Okt 2017, 19:42
Keine Hochkomma stimmt nicht.
Es kommt aber auf die Syntax des jeweiligen DBMS drauf an.

Denn es gibt verschiedene "Hochkomma" ... " ' ´ ` usw.
und die werden unterschiedlich verwendet, also entweder für "Strings" oder eben auch für "Namen".


Derartige zusammengebaute SQLs verleiten doch nahezu zu SQL-Injections?
Es gibt garantiert irgendwo in den verwendeten Zugriffskomponenten entsprechende Funktionen zum "Quoten und Escapen" von Werten/String und von Bezeichnern, welche man bei sowas besser auch verwenden sollte.

Und wenn auch ständig immerwieder welche Delphi-Referenz durchsuchenQuotedStr verwenden, so ist das doch eigentlich falsch, denn das ist für "Pascal-Strings" und nicht für "SQL-Bezeichner", welche nahezu immer einer komplett anderen Syntax unterliegen.
Garbage Collector ... Delphianer erzeugen keinen Müll, also brauchen sie auch keinen Müllsucher.
Delphi-Tage 2005-2014

Geändert von himitsu ( 9. Okt 2017 um 19:46 Uhr)
  Mit Zitat antworten Zitat
nahpets
(Gast)

n/a Beiträge
 
#10

AW: variabler Tabellenname in SQL-Abfrage

  Alt 9. Okt 2017, 22:21
Dann muss man mit Parametern arbeiten (wobei man Tabellenanem nicht über Parameter in eine Abfrage bekommt), ohne zu wissen, was für Komponenten genutzt werden, ist da ein Beispiel schwierig.

Da ist dann QuotedStr ungefähr genausogut wie eine Reihe von ', wie im ersten Post bei

SQLBefehl := SQLBefehl + (' WHERE Artikelbezeichnung LIKE ''' + StringReplace(Edit1.Text, '*', '%', [rfReplaceAll]) + '%''');

Frei nach dem Motto, passt meistens aber nicht immer und ja, beides ist bekanntermaßen nicht perfekt.
  Mit Zitat antworten Zitat
Antwort Antwort
Seite 1 von 2  1 2   

Themen-Optionen Thema durchsuchen
Thema durchsuchen:

Erweiterte Suche
Ansicht

Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 10:04 Uhr.
Powered by vBulletin® Copyright ©2000 - 2019, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2019 by Daniel R. Wolf