Исправление SQL-запросов с фильтрацией: использование параметризации для предотвращения пустых таблиц в Delphi

Delphi , Базы данных , SQL

Пользователь столкнулся с проблемой, когда при добавлении фильтров в SQL-запрос таблица DBGrid в программе на Delphi становилась пустой. Проблема была в том, что при составлении запроса использовалось конкатенация строк, что является небезопасным и может приводить к ошибкам. В качестве решения было предложено использовать параметризованные запросы, которые не только устраняют риск SQL-инъекций, но и упрощают отладку и поддержку кода.

Параметризация запросов в Delphi

Параметризация запросов позволяет заменить конкатенацию строк на передачу значений параметров, что делает запрос более безопасным и удобным в обслуживании. В Delphi для работы с параметризованными запросами обычно используются компоненты TAdoQuery и TDataSetProvider.

Пример кода

procedure TForm1.ApplyFilter(MinStars, MaxStars: Integer);
const
  FilterSql = 'SELECT * FROM Hotels WHERE Stars BETWEEN :Min AND :Max';
begin
  if AdoQuery1.Active then
    AdoQuery1.Close;

  AdoQuery1.SQL.Text := FilterSql;
  AdoQuery1.Parameters.Clear; // Очищаем список параметров
  AdoQuery1.Parameters.ParamByName('Min').Value := MinStars;
  AdoQuery1.Parameters.ParamByName('Max').Value := MaxStars;
  AdoQuery1.Parameters.ParamByName('Min').DataType := ftInteger;
  AdoQuery1.Parameters.ParamByName('Max').DataType := ftInteger;
  AdoQuery1.Prepared := True;

  AdoQuery1.Open;
end;

Пошаговое руководство

1. Создание таблицы и заполнение данными:
2. Создайте таблицу Hotels с необходимыми полями.

3. Добавьте несколько записей с различным количеством звезд.

4. Использование параметризованного запроса:

5. Определите константу FilterSql с параметрами :Min и :Max.
6. Очистите список параметров компонента AdoQuery1.
7. Установите значения параметров Min и Max.
8. Установите свойство Prepared в True для подготовки запроса.
9. Откройте запрос, чтобы выполнить фильтрацию и отобразить результаты в DBGrid.

Преимущества параметризации

• Безопасность: Параметризация уменьшает риск SQL-инъекций.
• Производительность: Сервер может кэшировать подготовленные запросы.
• Удобство отладки: Легче отслеживать и изменять параметры запроса.

Заключение

Использование параметризованных запросов в Delphi - это эффективный способ предотвращения пустых таблиц и улучшения безопасности и производительности приложений. Обязательно учитывайте этот подход при разработке новых проектов и при обновлении существующего кода.

Создано по материалам из источника по ссылке.

Пользователь столкнулся с проблемой пустых результатов запроса в Delphi из-за небезопасной конкатенации строк при составлении SQL-запросов и ищет решение в использовании параметризации для предотвращения возможных ошибок, включая SQL-инъекции.

Комментарии и вопросы

Получайте свежие новости и обновления по Object Pascal, Delphi и Lazarus прямо в свой смартфон. Подпишитесь на наш Telegram-канал delphi_kansoftware и будьте в курсе последних тенденций в разработке под Linux, Windows, Android и iOS

:: Главная :: SQL ::