TSQLScript hat keine "Params" Eigenschaft

Für Themen zu Datenbanken und Zugriff auf diese. Auch für Datenbankkomponenten.

TSQLScript hat keine "Params" Eigenschaft

Beitragvon hubblec4 » 23. Jul 2017, 00:43 TSQLScript hat keine "Params" Eigenschaft

Hiho

Ich bin gerade dabei eine SQL Datenbank zu erneuern/optimieren. Dabei hatte ich auch das Thema SQL-Injections im Auge.
Ich denke das habe ich auch soweit verstanden. Statt des eigentlichen Wertes wird im SQL Code erstmal ein Parameter gesetzt, welcher dann unter
Params.ParamByName('meinPara').AsString:=Wert gesetzt wird.

Da ich für manche Aufgaben zwingen das TSQLScript verwenden muss, frage ich mich nun wie das dort funktioniert.
Die Eigenschaft Params gibt es dort nicht, oder heist das nur anders.

Kann man sich somit mit dem TSQLScript nicht vor SQL-Injections schützen?

hubble
hubblec4
 
Beiträge: 189
Registriert: 25. Jan 2014, 17:50

Beitragvon af0815 » 23. Jul 2017, 07:30 Re: TSQLScript hat keine "Params" Eigenschaft

Die Frage ist für was du Tsqlscript wirklich verwendest.

Ersetzen kannst du es ja durch eine Folge von Queries die hintereinander ausgeführt werden. TSQLScript unterteilf auch nur das Script in Teile und führt diese aus. Ich setzte das TSQLScript nur bei Verwaltungsaufgaben ein, und Bulkcopies. Also nur dort wo der Benutzer per se nichts damit zu tun hat.

Andreas
Blöd kann man ruhig sein, nur zu Helfen muss man sich wissen (oder nachsehen in LazInfos/LazSnippets).
af0815
 
Beiträge: 3362
Registriert: 7. Jan 2007, 10:20
Wohnort: Niederösterreich
OS, Lazarus, FPC: Win7/Linux (L stable FPC stable) per fpcup | 
CPU-Target: 32Bit (64Bit)
Nach oben

Beitragvon hubblec4 » 23. Jul 2017, 11:22 Re: TSQLScript hat keine "Params" Eigenschaft

af0815 hat geschrieben:Die Frage ist für was du Tsqlscript wirklich verwendest.

Wie meinst du das? Also wirklich verwenden tut man es um mehrere, von einander abhängige SQL statements zu verarbeiten.
Mir ist schon klar das ein einfacher Befehl auch mit dem TSQLQuery gemacht werden kann.

af0815 hat geschrieben:Ersetzen kannst du es ja durch eine Folge von Queries die hintereinander ausgeführt werden.

Das hatte ich als aller erstes maL so programmiert, weil ich ja auch keine Ahnung hatte, das Ergebnis war/ist eine Katastrophe.
In einem anderen Programm wo es schonmal vorkommt das 1000 Querys verarbeitet werden müssten, und das ganze dauert....aber mit dem TSQLScript ist das in 0,2sekunden erledigt.

af0815 hat geschrieben:TSQLScript unterteilf auch nur das Script in Teile und führt diese aus. Ich setzte das TSQLScript nur bei Verwaltungsaufgaben ein, und Bulkcopies. Also nur dort wo der Benutzer per se nichts damit zu tun hat.
Andreas


Es kommt sicher immer auf die Umgebung an. Also muss ich schauen das ich das TSQLQuery verwende um SQL-Injections abzufangen und TSQLScript für "interne nicht User zugängliche" Vorgänge.
hubblec4
 
Beiträge: 189
Registriert: 25. Jan 2014, 17:50

• Themenende •

Zurück zu Datenbanken



Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 1 Gast

porpoises-institution
accuracy-worried