 |
 |
 |
 |
 |
|
Antwort
|
|
|
|
Registriert seit: 6. Mär 2007 Ort: Osnabrück 628 Beiträge Delphi XE6 Enterprise |
#1
AW: SQL Injection verhindern?
22. Apr 2022, 08:14
@mom: NEIN!
QuotedStr ist für die Syntax von Pascal/Delphi-Strings, dass es zufällig "oftmals" für SQL-Strings ausreicht, verhindet keine Injection/Maskierungsfehler. P.S.:  https://xkcd.com/327/
|
Zitat
|
Registriert seit: 31. Jan 2006 Ort: Weimar 345 Beiträge Delphi 10.4 Sydney |
#2
AW: SQL Injection verhindern?
22. Apr 2022, 08:49
Danke für die Hinweise. Bitte nicht streiten.
 @haentschman, eine Nachfrage zum Syntax. Warum wird bei einer Suche ein : vor den Suchbegriff gestellt (:Bla)? Eine weitere Frage bezüglich SQL injection: würde es ausreichen, Semikolons aus einem Suchbegriff zu entfernen?
Mathias
Ich vergesse einfach zu viel. |
|
Zitat
|
|
(Moderator)
Registriert seit: 9. Dez 2005 Ort: Heilbronn 39.879 Beiträge Delphi 11 Alexandria |
#3
AW: SQL Injection verhindern?
22. Apr 2022, 09:01
Zitat:
Warum wird bei einer Suche ein : vor den Suchbegriff gestellt (:Bla)?
Markus Kinzler
|
|
Zitat
|
Registriert seit: 24. Okt 2006 Ort: Seifhennersdorf / Sachsen 5.444 Beiträge Delphi 12 Athens |
#4
AW: SQL Injection verhindern?
22. Apr 2022, 09:03
Zitat:
würde es ausreichen, Semikolons aus einem Suchbegriff zu entfernen
 Da sind wir wieder am Anfang: Immer Parameter!  
Zitat:
Warum wird bei einer Suche ein : vor den Suchbegriff gestellt (:Bla)?
Der Name des Parameters ist beliebig. Ich habe mich für 3 Großbuchstaben entschieden...
Geändert von haentschman (22. Apr 2022 um 09:09 Uhr) |
|
Zitat
|
|
Registriert seit: 19. Jun 2006 655 Beiträge Delphi 11 Alexandria |
#5
AW: SQL Injection verhindern?
22. Apr 2022, 13:52
Danke für die Hinweise. Bitte nicht streiten.
@haentschman, eine Nachfrage zum Syntax. Warum wird bei einer Suche ein : vor den Suchbegriff gestellt (:Bla)? Eine weitere Frage bezüglich SQL injection: würde es ausreichen, Semikolons aus einem Suchbegriff zu entfernen? Query.SQL.Text := 'select * from Personen where Name = '+QuotedStr(Edit1.Text); Machst du das:
Delphi-Quellcode:
Dadurch ist dein Code geschützt vor Injections. Also nie einen SQL String direkt mit den Eingaben eines Users zusammenbauen! Was da im Edit.Text drin steht ist dann vollkommen egal, da dieses nicht mehr Bestandteil des SQL ist und somit auch nicht ausgeführt wird.
Query.SQL.Text := 'select * from Personen where Name = :NAME';
Query.ParamByName('NAME').AsString := Edit1.Text; Geändert von Rolf Frei (22. Apr 2022 um 13:59 Uhr) |
|
Zitat
|
|
Registriert seit: 31. Jan 2006 Ort: Weimar 345 Beiträge Delphi 10.4 Sydney |
#6
AW: SQL Injection verhindern?
22. Apr 2022, 17:06
Query.SQL.Text := 'select * from Personen where Name = :NAME';
Query.ParamByName('NAME').AsString := Edit1.Text; Hallo und Danke. Ich verstehe das leider immer noch nicht. Wenn ich einen Suchstring habe, dann sollte doch auch damit gearbeitet werden? Wie wird denn :NAME initialisiert? LG Selbst die Erklärung von componentace hilft mir nicht, es zu verstehen: http://www.componentace.com/help/abs...sinqueries.htm
Mathias
Ich vergesse einfach zu viel. Geändert von NoGAD (22. Apr 2022 um 17:11 Uhr) |
|
Zitat
|
|
(Moderator)
Registriert seit: 9. Dez 2005 Ort: Heilbronn 39.879 Beiträge Delphi 11 Alexandria |
#7
AW: SQL Injection verhindern?
22. Apr 2022, 17:50
Markus Kinzler
|
|
Zitat
|
|
Registriert seit: 29. Nov 2010 3.072 Beiträge Delphi 2010 Enterprise |
#8
AW: SQL Injection verhindern?
22. Apr 2022, 18:03
[QUOTE=NoGAD;1504988]
Wie wird denn :NAME initialisiert? Bei diesem Verfahren kannst Du nicht nur den Wert angeben, sondern auch den Typ berücksichtigen, String, Datum, Zahl .. schau es Dir an. Damit erschlägst Du auch gleich Konvertierungsprobleme, Quoting und eben Injection.
Gruß, Jo
|
|
Zitat
|
|
Registriert seit: 22. Jun 2005 Ort: Hamburg 2 Beiträge Delphi 11 Alexandria |
#9
AW: SQL Injection verhindern?
22. Apr 2022, 18:58
Zitat:
Wie wird denn :NAME initialisiert?
Die Parameter werden über die Params Eigenschaft des TABSQuery Objekts definiert. Dort können auch weitere Eigenschaften wie zB der Datentyp vorgegeben werden. |
|
Zitat
|
|
Registriert seit: 31. Jan 2006 Ort: Weimar 345 Beiträge Delphi 10.4 Sydney |
#10
AW: SQL Injection verhindern?
22. Apr 2022, 20:01
Ganz, ganz herzlichen Dank, dass ihr euch so viel Mühe mit mir gebt.
Trotzdem geht es mir nicht in den Kopf, warum mittels Parameter ein Code nicht ausgeführt werden kann..
Delphi-Quellcode:
Statt 'Egon' würde dann eigentlich die Suchanfrage als Variable eingesetzt werden?
Query.SQL.Text := 'select * from Personen where Vorname = :NAME';
Query.ParamByName('NAME').AsString := 'Egon'; Query.Open;
Delphi-Quellcode:
Query.ParamByName('NAME').AsString := Edit1.Text;
Query.Open; ??? Und in diesem Fall würde ein Datenbankbefehl ins Leere laufen? LG
Mathias
Ich vergesse einfach zu viel. |
|
Zitat
|
| Themen-Optionen | Thema durchsuchen |
| Ansicht | |
ForumregelnEs ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.
BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus. Trackbacks are an
Pingbacks are an
Refbacks are aus
|
|
Hybrid-Darstellung
