Безопасное добавление условий в SQL-запросы с использованием QuotedStr

Delphi , Базы данных , Oracle

При работе с SQL-запросами в Delphi и Pascal часто возникает необходимость динамически добавлять условия в WHERE часть запроса. Одним из способов выполнения этой задачи является использование функции QuotedStr, которая позволяет безопасно вставлять строковые литералы в SQL-запрос, экранируя кавычки. Однако, важно понимать, что безопасность при работе с SQL-запросами - это не только корректное форматирование строк, но и защита от SQL-инъекций.

Пример добавления условия в SQL-запрос

Допустим, у нас есть следующий SQL-запрос:

SQL.Add('where (cmcl_bank_cleared is not null) AND ((cmcl_bank_cleared - check_date) >=:DaysParam)');

И нам нужно добавить условие, которое проверяет, что cmcl_bank_cleared не равен дате '01/01/2011'. При этом необходимо учесть, что в SQL-запросах строковые литералы обрамляются одинарными кавычками, что может вызвать проблемы при использовании функции QuotedStr без должного понимания её работы.

Использование QuotedStr

Функция QuotedStr предназначена для экранирования символов кавычек в строковых литералах. Если в строке нет кавычек, то использование QuotedStr не требуется. Например:

SQL.Add('(cmcl_bank_cleared <> to_date('''01/01/2011'', ''mm/dd/yyyy'')) AND');

В данном случае мы просто удвоили кавычки, чтобы они были интерпретированы как часть строкового литерала, и это было бы правильным подходом, если бы мы не работали с переменными.

Безопасность SQL-запросов

Безопасность SQL-запросов достигается с помощью параметризованных запросов. Вместо вставки строковых литералов напрямую, следует использовать параметры, которые обрабатываются отдельно от основного запроса. Это предотвращает возможность SQL-инъекций, так как все вводимые данные обрабатываются как параметры, а не как часть SQL-команды.

SQL.Add('where (cmcl_bank_cleared is not null) AND (cmcl_bank_cleared <> :DateParamName) AND');
ParamByName('DateParamName').AsDateTime := EncodeDate(2011, 1, 1);
SQL.Add('((cmcl_bank_cleared - check_date) >=:DaysParam)');

Использование параметров также упрощает код и может ускорить выполнение запросов за счет кэширования планов запросов.

Заключение

При добавлении условий в SQL-запросы в Delphi важно помнить о безопасности и корректности форматирования строк. Функция QuotedStr может быть полезной, но она не заменяет использование параметризованных запросов. При работе с переменными и пользовательскими вводами всегда следует использовать параметры для предотвращения SQL-инъекций.

Эта статья демонстрирует основные принципы безопасного добавления условий в SQL-запросы, предоставляя примеры кода на Object Pascal, что актуально для разработчиков, работающих с Delphi и Pascal.

Создано по материалам из источника по ссылке.

Пример безопасного добавления условий в SQL-запросы с использованием функции `QuotedStr` и параметризации запросов для предотвращения SQL-инъекций в среде Delphi.

Комментарии и вопросы

Получайте свежие новости и обновления по Object Pascal, Delphi и Lazarus прямо в свой смартфон. Подпишитесь на наш Telegram-канал delphi_kansoftware и будьте в курсе последних тенденций в разработке под Linux, Windows, Android и iOS

:: Главная :: Oracle ::