FireDAC MySQL Abfrage mit "K&M" String funktioniert nicht

**bogdan**

Hallo Zusammen,

Delphi Version: Rad Studio XE8 64Bit
Windows 10 Pro

für DB Abfragen nutze ich ab und zu FireDAC Komponenten.
FDConnection, FDQuery, FDPhysMySQLDriverLink, FDGUIxWaitCursor und DataSource Compo.

Die MySQL Tabellen sind recht einfach aufgebaut, Spalten:
ID, TimeRec, TimeUpd, Active, Wert1 (VarChar), Wert2 (VarChar), usw.

In der Spalte Wert1 steht zb. Yamaha oder Roland oder K&M.

SELECT * FROM Tabelle1, WHERE Wert1 = "Yamaha" -> zeigt richtige Datensätze an
SELECT * FROM Tabelle1, WHERE Wert1 = "K&M" -> zeigt keinen einzigen Datensatz an

Die gleichen SELECT Abfragen habe ich im MySQL Workbench Applikation und über die Zeos Access Komponente ausprobiert. Hier werden mir auch die Datensätze mit "K&M" richtig angezeigt.

Was mache ich falsch bei FireDAC?

**haentschman**

Moin...

Zitat:

Was mache ich falsch bei FireDAC?

...keine Parameter zu benutzen!

markieren

Delphi-Quellcode:

			Query.SQL.Text := 'SELECT * FROM Tabelle1, WHERE Wert1 = :Blubb'

Query.ParamByName('Blubb').AsString := 'K&M';

**bogdan**

Morgen haentschman,

hab's ausprobiert, es geht

vielen Dank

**haentschman**

...immer mit Parametern arbeiten.

Wegen:

https://de.wikipedia.org/wiki/SQL-Injection

**Uwe Raabe**

Hier schlägt das

Vorverarbeiten von Anweisungstext zu. Auf der DocWiki-Seite ist unter

Verarbeitung von Sonderzeichen auch gleich ein Hinweis zu finden, wie man das umgehen kann.

**Frickler**

Zitat von haentschman:

...immer mit Parametern arbeiten.

Wegen:

https://de.wikipedia.org/wiki/SQL-Injection

Dumm nur, dass man bei der "IN" Anweisung ("SELECT bla FROM blubb WHERE fasel IN (...)") nicht mit Parametern arbeiten kann....

**haentschman**

Moin...

Zitat:

Dumm nur, dass man bei der "IN" Anweisung...

Falsch...

Prinzip:

markieren

Delphi-Quellcode:

			Qry.SQL.Text := 'select ixAdr from ADR where ixAdr in (:A, :B)';

Qry.ParamByName('A').AsString := '1000';

Qry.ParamByName('B').AsString := '9999';

Qry.Open;

Dazu gehört eine procedure, die den SQL.Text (Bsp: :A, :B), die Anzahl der Parameter (Bsp: 'A') und den ParameterValue (Bsp: '1000') aus der übergebenden Liste aufbaut.
...die muß man selbst programmieren.

**Frickler**

Zitat von haentschman:

Moin...

Dazu gehört eine procedure, die den SQL.Text (Bsp: :A, :B), die Anzahl der Parameter (Bsp: 'A') und den ParameterValue (Bsp: '1000') aus der übergebenden Liste aufbaut.
...die muß man selbst programmieren.

Jetzt wo ich das sehe... erinnere ich mich, das selbst mal so gemacht zu haben. Sogar mit "Intelligenz", d.h. waren es mehr als 20 Parameter, hat das Programm eine temporäre Tabelle erzeugt, die Werte da reingehauen und dann statt "IN" die temporäre Tabelle geJOINt.

**himitsu**

Bei einer festen Anzahl im IN mag das noch gehn,
ABER falls man nicht ständig das SQL neu generieren will....

ja, ist böse und hatte ich nur für Integer-Listen benutzt,
select ixAdr from ADR where ixAdr in (&params)
Qry.ParamByName('params').Value := '1000,9999';

also doch besser wieder die/den "sicheren" Parameter benutzen
select ixAdr from ADR where ixAdr in (select unnest(string_to_array(:params, ',')))
Qry.ParamByName('params').AsString := ArrayToString(ParameterListe, ',');

FireDAC MySQL Abfrage mit "K&M" String funktioniert nicht

FireDAC MySQL Abfrage mit "K&M" String funktioniert nicht

AW: FireDAC MySQL Abfrage mit "K&M" String funktioniert nicht

AW: FireDAC MySQL Abfrage mit "K&M" String funktioniert nicht

AW: FireDAC MySQL Abfrage mit "K&M" String funktioniert nicht

AW: FireDAC MySQL Abfrage mit "K&M" String funktioniert nicht

AW: FireDAC MySQL Abfrage mit "K&M" String funktioniert nicht

AW: FireDAC MySQL Abfrage mit "K&M" String funktioniert nicht

AW: FireDAC MySQL Abfrage mit "K&M" String funktioniert nicht

AW: FireDAC MySQL Abfrage mit "K&M" String funktioniert nicht

Forumregeln

haentschman Registriert seit: 24. Okt 2006 Ort: Seifhennersdorf / Sachsen 5.292 Beiträge Delphi 12 Athens	#2 AW: FireDAC MySQL Abfrage mit "K&M" String funktioniert nicht 15. Jun 2020, 10:41 Moin... Zitat: Was mache ich falsch bei FireDAC? ...keine Parameter zu benutzen! markieren Delphi-Quellcode: Query.SQL.Text := 'SELECT * FROM Tabelle1, WHERE Wert1 = :Blubb' Query.ParamByName('Blubb').AsString := 'K&M';
	Zitat

bogdan Registriert seit: 15. Apr 2013 77 Beiträge	#3 AW: FireDAC MySQL Abfrage mit "K&M" String funktioniert nicht 15. Jun 2020, 10:47 Morgen haentschman, hab's ausprobiert, es geht vielen Dank
	Zitat

haentschman Registriert seit: 24. Okt 2006 Ort: Seifhennersdorf / Sachsen 5.292 Beiträge Delphi 12 Athens	#4 AW: FireDAC MySQL Abfrage mit "K&M" String funktioniert nicht 15. Jun 2020, 10:50 ...immer mit Parametern arbeiten. Wegen: https://de.wikipedia.org/wiki/SQL-Injection
	Zitat

Uwe Raabe Registriert seit: 20. Jan 2006 Ort: Lübbecke 11.009 Beiträge Delphi 12 Athens	#5 AW: FireDAC MySQL Abfrage mit "K&M" String funktioniert nicht 15. Jun 2020, 12:18 Hier schlägt das Vorverarbeiten von Anweisungstext zu. Auf der DocWiki-Seite ist unter Verarbeitung von Sonderzeichen auch gleich ein Hinweis zu finden, wie man das umgehen kann. Uwe Raabe Certified Delphi Master Developer Embarcadero MVP Blog: The Art of Delphi Programming
	Zitat

Frickler Registriert seit: 6. Mär 2007 Ort: Osnabrück 563 Beiträge Delphi XE6 Enterprise	#6 AW: FireDAC MySQL Abfrage mit "K&M" String funktioniert nicht 15. Jun 2020, 16:57 Zitat von haentschman: ...immer mit Parametern arbeiten. Wegen: https://de.wikipedia.org/wiki/SQL-Injection Dumm nur, dass man bei der "IN" Anweisung ("SELECT bla FROM blubb WHERE fasel IN (...)") nicht mit Parametern arbeiten kann....
	Zitat