Ich habe kürzlich einiges über SQL-Injection gelesen und da stellt sich mir die Frage, wie sicher die Delphi Komponenten sind.
Bsp.:
Ich verwende einen ADO-Query, welchem mittels Parameter Werte für den SQL-String zugewiesen werden. Werden diese Parameter nun überprüft oder kann hier Schadcode eingeschmuggelt werden?

Vielen Dank im voraus.

das hängt auch hier von der Programmierung ab... je nachdem welche Typen du für die Parameter festlegst.....

Parameter sind IMHO die enizig sinnvolle Art Werte an ein SQL Statement zu geben. Da sie im Statement selbst nur als Variablen auftauchen kann ihr Inhalt die Syntax des Statements nicht aushebeln.
Kurz gesagt: Du hast bereits richtig gehandelt bevor du über SQL Injections gelesen hast.

Die Komponenten sind so so sicher wie sie verwendet werden.

Wenn du parametrisierte Abfragen verwendest bist du gegen SQL-Injection von deiner Anwendung aus sicher. Dann müssen schon auf der SQL-Server-Seite Bugs vorhanden sein das diese Parameter nicht richtig behandelt werden. Das sind aber nicht mehr deine Fehler sondern ein Fehler der DBMS-Software.

SQL Injections basieren auf sowas: http://www.irgendwas.de/search.php?get=title='123'

da könnte man sowas machen als Beispiel: http://www.irgendwas.de/search.php?get=title='123' or ''=''

dann werden einfach alle Einträge angezeigt. Solange man nicht direkt die Parameter an SQL weitergibt kann nichts passieren.

Das man Get-Variablen vor der Benutzung in SQL-Anweisungen kontrollieren muss, ist klar. Deshalb war ich mir bei folgendem unsicher, da dieses doch eigentlich das gleiche ist:

AdoQuery1.SQL:= 'Select * from foo where (Username=aramUsername) and (Passwort=aramPasswort)';
AdoQuery1.Parameters.ParamByName('ParamUsername'). Value:= Edit1.Text;
AdoQuery1.Parameters.ParamByName('ParamPasswort'). Value:= Edit2.Text;


Wunderbar!