Parameterverwendung bei DB-, Feld- und Tabellennamen
 

Hallo zusammen,

ich habe früher meine SQL-Statements immer über den Formatbefehl zusammengesetzt, z.B.:
Da dies Methode ziemlich unsicher ist, wenn der Tabellenname beispielsweise von einem User eingetippt werden kann (Stichwort "SQL-Injection"), möchte ich künftig lieber sauber mit Parametern arbeiten. Bei Values - z.B. in Where-Bedingungen - ist das auch gar kein Problem. Aber bei Feld-, DB- und Tabellennamen funktioniert das scheinbar nicht. Beispiel:
Das führt zu einem Fehler, da der Tabellenname offenbar mit führendem und schließendem Hochkomma in das SQL-Staement eingebaut wird.
:TabName in die bei Feld- und Tabellennamen üblichen Hochkommas zusetzen (`:TabName`), hilft auch nicht...

Übersehe ich da was oder funktionieren DB-, Tabellen- und Feldnamen einfach nicht über Parameter?

Danke im Voraus!

Freejay

AW: Parameterverwendung bei DB-, Feld- und Tabellennamen
 

Nimm ein Makro: https://www.devart.com/mydac/docs/?work_macros.htm

AW: Parameterverwendung bei DB-, Feld- und Tabellennamen
 

Du kannst lediglich Werte parametrisieren, aber keine (Tabellen-, Feld- oder sonstigen) Bezeichner, das hast Du richtig erkannt.

AW: Parameterverwendung bei DB-, Feld- und Tabellennamen
 

"Macro" ist ja dafür ein komischer Name, aber das ist genau das, was ich brauche! ;-)

Dank Euch!

AW: Parameterverwendung bei DB-, Feld- und Tabellennamen
 

Warum komisch, es ist ja eine Makroersetzung innerhalb der Clientkomponenten.

AW: Parameterverwendung bei DB-, Feld- und Tabellennamen
 

Ich verstehe und einem Makro ungefähr folgendes:
[Quelle: Wikipedia]

Für mich hat das Ersetzen von bestimmten kleinen Strings in einem größeren String durch andere kleine Strings mit dem wie oben verstandenen Begriff "Makro" nicht viel zu tun.

Aber das darf natürlich jeder beliebig anders sehen! ;-)

AW: Parameterverwendung bei DB-, Feld- und Tabellennamen
 

Ääähhhh, sorry für meine Unwissenheit, aber wenn auf der Clientseite der Tabellenname mit einem Macro ersetzt wird, kann es doch trotzdem noch zu SQL Injection kommen!? Oder ist die Macro-Funktion schlau genug, das zu erkennen?
Falls nicht würde ich den eingegebenen Text anhand von System-Tabellen verifizieren
(gibt es eine Tabelle, dessen Text gleich ist wie der eingegebene) und es dann wie im Usprungspost selbst ersetzen.

AW: Parameterverwendung bei DB-, Feld- und Tabellennamen
 

Das kann ich aufgrund fehlender Einblicke in die MyDAC-Sourcen nicht beurteilen (also ebenso unwissend), aber der Einwand ist natürlich durchaus berechtigt. Zumindest kann man vorher überprüfen, ob der in das Makro einzusetzende Wert die Vorgaben für einen validen Bezeichner erfüllt.

AW: Parameterverwendung bei DB-, Feld- und Tabellennamen
 

Ja, davon gehe ich aus. Aber erstens war das mit dem Tabellennamen nur ein in meiner Praxis nicht vorkommendes Beispiel und zweitens ging es mir zusätzlich um einen "objektmäßigeren" Code - also nicht immer diese String-/Format-Pfriemeleien - auch wenn SQL natürlich per se eher textlastig is... ;-)

Die Benutzung von Parametern verhindert allerdings meines Wissens nach sicher SQL-Injections.

AW: Parameterverwendung bei DB-, Feld- und Tabellennamen
 

Wenn diese vom DBMS direkt unterstützt werden und nicht von der Zugriffsschicht emuliert werden.

AW: Parameterverwendung bei DB-, Feld- und Tabellennamen
 

Wir haben und da mal eine Klasse TSQL gebastelt, mit der man auf Basis einer Stringliste SQL-Statements zusammen bauen konnte. "Add" wurde als Property realisiert, damit man auf die Klammern verzichten konnte, das machte das im Quelltext lesbarer. Gleichzeitig gab es diverse Hilfsfunktionen für verschiedene Datenbanken. Dabei ging es hauptsächlich um das angenehme, lesbare zusammenbauen der SQL-Statements, ein paar Sachen waren drin um SQL-Injektion zu verhindern, es wurde aber trotzdem auch mit Parametern gearbeitet:

AW: Parameterverwendung bei DB-, Feld- und Tabellennamen
 

Das würde man heute auch mit einer bordeigenen TStringList vielleicht sogar noch etwas eleganter hinkriegen:

AW: Parameterverwendung bei DB-, Feld- und Tabellennamen
 

Im alten D6 geht das so glaub ich leider noch nicht. Auch fehlen der Stringlist ja die schönen Umwandelfunktionen. Wobei man die in dem Beispiel gezeigten ja auch nicht wirklich braucht, wenn man stattdessen mit Parametern arbeitet, insofern kann man sich bei neueren Delphis durchaus die Mühe einer eigenen Klasse sparen.

Nur aus Neugier:
Wie funktiert das eigentlich mit dem Datum als Parameter, wenn man das gewohnte deutsche Datumsformat im String hat "15.03.2013" die Datenbank aber intern mit US-Schema arbeitet?

AW: Parameterverwendung bei DB-, Feld- und Tabellennamen
 

Überlass doch der Datenbank die Speicherung...

Fast... Beispiel INSERT mit Datum


Mavarik

Oder war das nicht die Frage?

AW: Parameterverwendung bei DB-, Feld- und Tabellennamen
 

Das wir die eigentliche Intention meines Beitrags :twisted:

Das wiederum wollte ich mit dem Class helper demonstrieren.

AW: Parameterverwendung bei DB-, Feld- und Tabellennamen
 

Aua. Den Teil deines Beitrages habe einfach überlesen und bei "function SQL_Beispiel: String;" angefangen den Code zu lesen. So macht das natürlich mehr Sinn, sorry.

AW: Parameterverwendung bei DB-, Feld- und Tabellennamen
 

Im Gegenteil! Das gab mir die Gelegenheit, das nochmal herauszustellen :-D

AW: Parameterverwendung bei DB-, Feld- und Tabellennamen
 

Doch, nur machst du es dir mit NOW() einfach. Wie sieht es bei einem Datum, dass mir im Programm als String vorliegt aus? Muss da Delphi die Umwandlung machen?

AW: Parameterverwendung bei DB-, Feld- und Tabellennamen
 

Mit der Zuweisung wird der Datentyp des Parameters festgelegt. Mit wird also ein (Wide-)String-Parameter gesetzt, was hier aber wohl nicht gewünscht ist. wäre hier der korrekte Ansatz.

Was die FormatSettings anbelangt: Die können bei einem aktuelleren Delphi als zweiter Parameter an StrToDateTime mitgegeben werden (TFormatSettings.Invariant).

Wenn das Datum nicht als String, sondern als Werte für Tag, Monat und Jahr vorliegt, geht auch ein EncodeDate.

AW: Parameterverwendung bei DB-, Feld- und Tabellennamen
 

Geht übrigens nicht.

AW: Parameterverwendung bei DB-, Feld- und Tabellennamen
 

Makros werden oft direkt "ersetzt", aber man kann ja vor Zuweisung an das Makro die Escape-Funktion für Bezeichner darauf anwenden.

bei PgDAC z.B. TPgTextConverter.EscapeString
quote_ident in der DB

Und eventuell wird dir auch eine Typkonvertierung angeboten