Variablen übergeben bei insert
 

Ich arbeite an diesem Tutorial: https://www.delphi-treff.de/tutorial...d-dbexpress/2/

Nun möchte ich bei diesem Teil:
Testdaten hinzufügen
Variablen übergeben. Also anstatt AutorID eine Variable in der die AutorID steht. Wie kann ich das verwirklichen? Denn bisher habe ich nur eine SQLConnection auf dem Formular.
Quasi:

AW: Variablen übergeben bei insert
 

Hallo,

oder bei Dir

AW: Variablen übergeben bei insert
 

Warum keine (SQL-)Parameter?

AW: Variablen übergeben bei insert
 

Und für Texte ala muß man mal nachsehen wo sich die Quote-Funktion der DB-Schnittstelle versteckt und muß den String darüber vorher Quoten, bevor man ihn in den SQL-Text einfügt.

Am Besten ist es natürlich immer, wenn die DB-Schnittstelle parametrisierte Abfragen ermöglicht.
Oftmals in etwa so
Is natürlich unschön, dass es hier so nicht geht.

AW: Variablen übergeben bei insert
 

Also wenn is sich z.B. um die ID eines Benutzers handelt
würde ich es so machen:
bei der direkten Verwendung von IDs ist zu oft etwas schief gegangen.
(zumindestens bei mir)

Gruß
K-H

AW: Variablen übergeben bei insert
 

wenn man zu kompliziert denkt, kommt man auf so einfache Lösungen nicht :oops:

Danke :thumb:


Ist halt so in diesem Tutorial...

AW: Variablen übergeben bei insert
 

Hallo,

SQLConnection.ExecuteDirect(FSQLCommandText);
hat doch keine Parameter-Option oder doch?

aus der Hilfe.

Mit ExecuteDirect können Sie eine SQL-Anweisung ohne Parameter ausführen. Sie umgehen auf diese Weise sowohl die Verwendung einer SQL-Datenmenge als auch die Vorbereitung der Anweisung. Wenn die Anweisung einen Cursor zurückgibt, führt ExecuteDirect sie aus, ohne einen Cursor zurückzugeben.

SQL ist die auszuführende Anweisung.

ExecuteDirect gibt 0 zurück, wenn die Anweisung erfolgreich ausgeführt wurde. Andernfalls wird ein dbExpress-Fehlercode zurückgeliefert.
Anmerkung: Verwenden Sie für SQL-Anweisungen, die Parameter enthalten oder einen Cursor zurückgeben, die Methode Execute.

AW: Variablen übergeben bei insert
 

Stimmt. Eigentlich wäre SQLConnection.Execute die bessere Wahl. Aber ich denke für meinen einfachen Zweck ist es auch so ok. Sind ja nicht wirklich Parameter bei mir.

AW: Variablen übergeben bei insert
 

Hallöle...8-)
:warn: Ein "vergessener" Parameter reicht schon für SQL Injection aus... Lieber gleich richtig... :P

AW: Variablen übergeben bei insert
 

Stimmt auch wieder
Aber in diesem Fall nutze nur ich das Programm als kleines Hilfsmittel zur Erfassung.

AW: Variablen übergeben bei insert
 

Sorry Leute, aber bin ich irgendwie Blöd? Muss man in SQL nicht die Pascal-Strings verwenden?
Also mit ' und nicht mit "...? Das nur am Rande, ich kenne mich mit Delphi SQL-API Zeugs nicht so gut aus.

Außerdem empfehle ich persönlich die AUTO_INCREMENT-Option bei IDs. Das macht es deutlich leichter, da man auch im nachhinein noch Einträge einfügen kann, ohne die höcchste ID zu kennen. Geht allerdings nur bei UNIQUE bzw. PRIMARY-Spalten. Auch würde ich persöhnlich zur Fehlervermeidung empfehlen, alle Strings in SQL in Anführungszeichen zu packen. Denn wenn der Spalten-/Zeilenbezeichner oder der Kästchenwert Leerzeichen oder andere reservierte Zeichen/Ausdrücke enthält (wieso auch immer) dann kriegst du einen Fehler oder noch schlimmer, es wird eine falsche Anfrage ausgeführt.

AW: Variablen übergeben bei insert
 

@Dennis:

Also wenn ich sowas mache und keine Parameter verwende, dann nutze ich QuotedStr. Damit hab' ich dann immer das Richtige, ohne weiter drüber nachdenken zu müssen.

So kann man auch recht einfach SQL-Scripte erstellen, die man dann später mit anderen Mitteln, über irgendeine Datenbankoberfläche ... in die Datenbank "jagen" kann.

AW: Variablen übergeben bei insert
 

Naja, wie du hier ja lesen kannst, macht QuotedStr ja nichts außer den String in ' zu packen. Nur warem im ersten Beitrag ja normale Anfhrungszeichen (") zu sehen:
Und das ist meines Wissens nach in alle SQL-Dialekten falsch. Es gibt meines Wissens nach kein gängiges SQL, das nicht die Pascal-Strings verwendet, also Apostrophe ('). SQL müsste als bei " einen Fehler ausgeben.

Außerdem bleibt hier immer noch das Problem, dass falls der String selbst Zeichen wie ' enthält, diese so noch nicht "escaped" werden. Das muss man noch über eine Kodierungs-/Dekodierungs-Routine machen. Ansonsten kriegst du nämlich wurstsalat wenn dein String zum Beispiel ' Zeichen enthält.

Außerdem musst du darauf achten, dass du AnsiQuotedStr bei Multibyte-Strings benutzt.

AW: Variablen übergeben bei insert
 

Fast alle SQL-Dialekte kennen beide/mehrere Quote-Zeichen.
' und " und manchmal auch ´

Sie unterscheiden aber anhand des Quotings, um was für eine "Art" von String es sich handelt
> Text (Strings)
> Bezeichner (z.B. Namespace-, Typen-, Tabellen- oder Spaltenbezeichner)

SQL kenn mehr Steuerzeichen, darum ist QuoteString auch falsch, denn wie in den üblichen C-Dialekten, ist der Backslash "\" ein Steuerzeichen
und den behandelt die RTL-Funktion QuoteStr garnicht.

Wie gesagt, jede "orgendliche" Datenbank-Schnittstelle besitzt mindetens eine SQL-Quote-Funktion und jene muß man verwenden.

AW: Variablen übergeben bei insert
 

Danke, war mir so nicht bewusst. Were mich mal schlau machen diesbezüglich.

Wie ich sagte, man muss die entsprechenden reservierten Zeichen "escapen" (gibt's dafür einen deutschen Fachterminus?). Hatte ich ja bereits zwei mal geschrieben.