Удаление записи из базы данных в Delphi: корректное использование SQL-запросов с целочисленными идентификаторами

Delphi , Базы данных , SQL

Вопрос, представленный в контексте, касается корректного использования целочисленных идентификаторов в SQL-запросах на удаление записей из базы данных в среде Delphi. Проблема заключается в том, что текущий подход к формированию SQL-запроса не позволяет корректно обработать целочисленные значения, что приводит к ошибкам при выполнении запроса.

При работе с базами данных в среде Delphi часто возникают ситуации, когда необходимо удалить запись по её уникальному идентификатору. В контексте использования баз данных, где столбец идентификатора является целочисленным, важно корректно сформировать SQL-запрос для выполнения операции удаления.

Пример некорректного кода:

procedure TForm1.btnDeleteDocClick(Sender: TObject);
var
  iID : Integer;
begin
  iID := StrToInt(InputBox('Delete Doctor','Please enter in your Doctor ID',''));
  with dmHospital do
  begin
    qryDoctors.SQL.Clear;
    //qryDoctors.SQL.Add('DELETE FROM Doctors WHERE DoctorID = iID ' ) ; // Ошибка: iID не введён в SQL-запрос
    //qryDoctors.SQL.Add('DELETE FROM Doctors WHERE DoctorID = ' + QuotedStr(iID)); // Ошибка: целочисленный ID обёрнут в кавычки
    qryDoctors.ExecSQL;
    // ... остальной код ...
  end;
end;

Подтверждённый ответ:

Проблема в первом примере заключается в том, что переменная iID не включается в SQL-запрос, а во втором — целочисленное значение оборачивается в кавычки, что некорректно для целочисленных столбцов.

Решение:

Для корректного использования целочисленных значений в SQL-запросах на удаление, следует использовать параметризованные запросы. Это позволяет избежать уязвимостей, связанных с SQL-инъекциями, и обеспечивает более высокую производительность за счет кэширования запросов базой данных.

procedure TForm1.btnDeleteDocClick(Sender: TObject);
var
  iID : Integer;
begin
  iID := StrToInt(InputBox('Delete Doctor','Please enter in your Doctor ID',''));
  with dmHospital do
  begin
    qryDoctors.SQL.Clear;
    qryDoctors.SQL.Text := 'DELETE FROM Doctors WHERE DoctorID = :DoctorID';
    qryDoctors.ParamByName('DoctorID').Value := iID;
    qryDoctors.ExecSQL;
    // ... остальной код ...
  end;
end;

Также важно отметить, что использование свойства Value параметра TParameter является вариантом, но для более строгого соблюдения типов данных рекомендуется использовать другие способы передачи параметров, которые не требуют использования варианта.

Альтернативный ответ и дополнительные рекомендации:

• Перед формированием SQL-запроса следует проверить введённые пользователем данные на валидность.
• Используйте функцию InputQuery вместо InputBox, если необходимо проверить, был ли запрос на удаление подтверждён пользователем.
• Всегда стремитесь использовать параметризованные запросы для повышения безопасности и производительности работы с базой данных.

Следуя этим рекомендациям, вы сможете эффективно и безопасно удалять записи из базы данных в среде Delphi.

Создано по материалам из источника по ссылке.

Вопрос связан с корректным использованием параметризованных запросов в Delphi для удаления записей из базы данных с использованием целочисленных идентификаторов, чтобы избежать ошибок и повысить безопасность.

Комментарии и вопросы

Получайте свежие новости и обновления по Object Pascal, Delphi и Lazarus прямо в свой смартфон. Подпишитесь на наш Telegram-канал delphi_kansoftware и будьте в курсе последних тенденций в разработке под Linux, Windows, Android и iOS

:: Главная :: SQL ::