Nur SELECT-Abfrage zulassen?

**Grolle**

Hallo,

ich möchte gerne für ein kleines Abfragetool (Memo+DBGrid) nur SELECT-Anweisungen
zulassen (damit nix an der DB selber geändert werden kann). Im Moment überprüfe
ich einfach, ob "SELECT" im String enthalten ist. Die Frage: reicht das?

Viele Grüße ...

**mkinzler**

Ich kenne ADS nicht. Aber bei anderen DBMS kann man dur GRANT o.ä. die Rechte vergeben

**Grolle**

Hi,

die Datenbank wird meistens eh nur von einem Nutzer bedient. Es ist auch wirklich
nur für Abfrage und Export nach Excel, CSV, PDF ... gedacht.

VIele Grüße ...

**Andreas H.**

Hallo,

ich denke, wenn an in der Connection ReadOnly einstellt, oder?

Gruß Andreas

**Matze**

Zitat von Grolle:

Im Moment überprüfe
ich einfach, ob "SELECT" im String enthalten ist. Die Frage: reicht das?

Um diese Frage zu beantworten: Nein, das reicht nicht. Sowas wäre dann ja weiterhin möglich:

DELETE FROM my_table WHERE spalte = 'SELECT' OR 1=1

**DeddyH**

Etwas mehr Sicherheit gäbe es, wenn das Wort SELECT von mindestens einem Leerzeichen gefolgt am Anfang des (getrimmten) SQL-Strings stehen muss. Der Vergleich darf nicht case-sensitive erfolgen.

**Matze**

Ich denke dies über den Query-String zu ermitteln wird schwer bis unmöglich. Andere Lösungen, wie Andreas sie angesprochen hat, sind da deutlich besser.

**DeddyH**

Das habe ich nie bestritten. Aber wo steht denn etwas von Query-String?

**mkinzler**

Na er scheint ihn ja nach SELECT zu filtern

**DeddyH**

Sorry, ich denke bei Query-String immer an URIs

Nur SELECT-Abfrage zulassen?

Nur SELECT-Abfrage zulassen?

Re: Nur SELECT-Abfrage zulassen?

Re: Nur SELECT-Abfrage zulassen?

Re: Nur SELECT-Abfrage zulassen?

Re: Nur SELECT-Abfrage zulassen?

Re: Nur SELECT-Abfrage zulassen?

Re: Nur SELECT-Abfrage zulassen?

Re: Nur SELECT-Abfrage zulassen?

Re: Nur SELECT-Abfrage zulassen?

Re: Nur SELECT-Abfrage zulassen?

Forumregeln

Grolle Registriert seit: 5. Nov 2004 Ort: Coesfeld 1.268 Beiträge Delphi 2010 Professional	#1 Nur SELECT-Abfrage zulassen? 2. Sep 2007, 13:47 Datenbank: ADS • Version: 7.1 • Zugriff über: TDataset/Query Hallo, ich möchte gerne für ein kleines Abfragetool (Memo+DBGrid) nur SELECT-Anweisungen zulassen (damit nix an der DB selber geändert werden kann). Im Moment überprüfe ich einfach, ob "SELECT" im String enthalten ist. Die Frage: reicht das? Viele Grüße ...
	Zitat

mkinzler (Moderator) Registriert seit: 9. Dez 2005 Ort: Heilbronn 39.851 Beiträge Delphi 11 Alexandria	#2 Re: Nur SELECT-Abfrage zulassen? 2. Sep 2007, 13:49 Ich kenne ADS nicht. Aber bei anderen DBMS kann man dur GRANT o.ä. die Rechte vergeben Markus Kinzler
	Zitat

Grolle Registriert seit: 5. Nov 2004 Ort: Coesfeld 1.268 Beiträge Delphi 2010 Professional	#3 Re: Nur SELECT-Abfrage zulassen? 2. Sep 2007, 13:55 Hi, die Datenbank wird meistens eh nur von einem Nutzer bedient. Es ist auch wirklich nur für Abfrage und Export nach Excel, CSV, PDF ... gedacht. VIele Grüße ...
	Zitat

Andreas H. Registriert seit: 3. Mär 2006 Ort: Schopfloch 163 Beiträge Delphi 2006 Professional	#4 Re: Nur SELECT-Abfrage zulassen? 2. Sep 2007, 18:01 Hallo, ich denke, wenn an in der Connection ReadOnly einstellt, oder? Gruß Andreas
	Zitat

Matze (Co-Admin) Registriert seit: 7. Jul 2003 Ort: Schwabenländle 14.929 Beiträge Turbo Delphi für Win32	#5 Re: Nur SELECT-Abfrage zulassen? 2. Sep 2007, 18:34 Zitat von Grolle: Im Moment überprüfe ich einfach, ob "SELECT" im String enthalten ist. Die Frage: reicht das? Um diese Frage zu beantworten: Nein, das reicht nicht. Sowas wäre dann ja weiterhin möglich: DELETE FROM my_table WHERE spalte = 'SELECT' OR 1=1
	Zitat

Matze (Co-Admin) Registriert seit: 7. Jul 2003 Ort: Schwabenländle 14.929 Beiträge Turbo Delphi für Win32	#7 Re: Nur SELECT-Abfrage zulassen? 2. Sep 2007, 18:43 Ich denke dies über den Query-String zu ermitteln wird schwer bis unmöglich. Andere Lösungen, wie Andreas sie angesprochen hat, sind da deutlich besser.
	Zitat

DeddyH Registriert seit: 17. Sep 2006 Ort: Barchfeld 27.541 Beiträge Delphi 11 Alexandria	#8 Re: Nur SELECT-Abfrage zulassen? 2. Sep 2007, 18:45 Das habe ich nie bestritten. Aber wo steht denn etwas von Query-String? Detlef *"Ich habe Angst vor dem Tag, an dem die Technologie unsere menschlichen Interaktionen übertrumpft. Die Welt wird eine Generation von Idioten bekommen."* (Albert Einstein) Dieser Tag ist längst gekommen
	Zitat

mkinzler (Moderator) Registriert seit: 9. Dez 2005 Ort: Heilbronn 39.851 Beiträge Delphi 11 Alexandria	#9 Re: Nur SELECT-Abfrage zulassen? 2. Sep 2007, 18:46 Na er scheint ihn ja nach SELECT zu filtern Markus Kinzler
	Zitat

DeddyH Registriert seit: 17. Sep 2006 Ort: Barchfeld 27.541 Beiträge Delphi 11 Alexandria	#10 Re: Nur SELECT-Abfrage zulassen? 2. Sep 2007, 18:48 Sorry, ich denke bei Query-String immer an URIs Detlef *"Ich habe Angst vor dem Tag, an dem die Technologie unsere menschlichen Interaktionen übertrumpft. Die Welt wird eine Generation von Idioten bekommen."* (Albert Einstein) Dieser Tag ist längst gekommen
	Zitat