champs avec ' apostrophe dans une requête Query

Question

Bonjour ,

J'ai le code suivant : 
with Query dobeginClose;SQL.Clear; SQL.Add('select DISTINCT REF,text from  tab F' );SQL.Add('inner JOIN tab1 A ON A.REF = F.REF' );SQL.Add('where A.LIBELLE_AF='''+ComboBox.text+''' ');Prepare;open;end;

tous marche bien sauf si j'ai un texte qui contient des ' dans ComboBox.text

Alors comment faire pour éviter l'erreur

KX · Answer

Bonjour,

Ce que tu fais est plus grave que juste un problème d'apostrophe.
C'est une faille de sécurité, l'injection SQL.

Imagines par exemple que Combobox.text contienne une valeur du genre
'; drop table tab; -- 
Cela va créer deux requêtes : select DISTINCT REF,text from  tab F inner JOIN tab1 A ON A.REF = F.REF where A.LIBELLE_AF='';
drop table tab; --' 
La deuxième requête étant bien sûr dramatique pour ta base...

Regarde donc sur Google comment te prémunir de ce genre d'attaques :
https://www.google.fr/search?q=injection+sql+pascal

Ton problème de guillemets se résoudra de la même manière.

sp40 · Answer

Salut

Utilise une requête paramétrée :

with Query do begin
     Close;
     With SQL do begin
        Clear;
        Add('select DISTINCT REF,text from  tab F' );
        Add('inner JOIN tab1 A ON A.REF = F.REF' );
        Add('where A.LIBELLE_AF= :P_LIBELLE');
     end;    
     ParamByName('P_LIBELLE').Value := ComboBox.Text;
     Open;
end;

 
(Et accessoirement tu peux gérer les exceptions sur ton Open)

Champs avec ' apostrophe dans une requête Query

2 réponses

Votre réponse

Discussions similaires