Обработка специальных символов в SQL-запросах через FireDAC в Delphi 10.4

Delphi , Базы данных , SQL

При работе с базой данных SQLite через компоненты FireDAC в Delphi 10.4 может возникнуть проблема, связанная с обработкой специальных символов в SQL-запросах. Одна из таких проблем - это неправильная обработка символа восклицания "!" в строковых литералах.

Описание проблемы

Разработчик столкнулся с ошибкой при выполнении SQL-запроса на вставку данных в таблицу BrandName. Запрос содержал строку "Mount It!", и при попытке выполнения через компонент FireDAC Query возникла ошибка:

[FireDAC][Phys][SQLite] Error: 2 values for 3 columns

После удаления символа "!" из строки запрос выполнялся корректно, как в SQLite DB Browser, так и в FireDAC. Использовался компонент SQLite версии 3.36.0.

Исходный код для выполнения запроса выглядел следующим образом:

with MemDataMod.BrandTable do begin
  First;
  while not EOF do begin
    SQLStr := 'INSERT INTO BrandName (BrandName, WebSite, Email)'
          + ' values ("' + FieldByName('BrandName').AsString + '", "'
          + FieldByName('WebSite').AsString + '", "'
          + FieldByName('Email').AsString + '")';
    MySQLDB.BlankQuery.SQL.Clear;
    MySQLDB.BlankQuery.SQL.Append(SQLStr);
    MySQLDB.BlankQuery.ExecSQL;
    Next;
  end;
end;

Подтвержденный ответ

Проблема заключается в том, что символ "!" и некоторые другие символы имеют специальное значение в SQL-запросах, обрабатываемых через FireDAC. Это связано с особенностями обработки текста команд в FireDAC, которые описаны в разделе "Special Character Processing" документации Preprocessing Command Text (FireDAC). В частности, стоит обратить внимание на свойства MacroCreate, MacroExpand и EscapeExpand, которые определяют правила обработки специальных символов.

Альтернативный ответ не требуется, так как проблема описана в "Подтвержденном ответе".

Рекомендации по предотвращению SQL-инъекций

Важно отметить, что при построении SQL-запросов путем конкатенации текста, включая пользовательский ввод или значения полей, существует риск SQL-инъекций. В данном случае, поскольку программа является утилитой для конвертации данных, и данные вводятся пользователем, который не имеет стимула для их подделки, риск SQL-инъекций минимален.

Пример корректного использования

Чтобы избежать ошибок с обработкой специальных символов, следует использовать параметризованные запросы. Пример кода на Object Pascal (Delphi) с использованием параметров:

var
  BrandName, WebSite, Email: string;
begin
  with MemDataMod.BrandTable do
  begin
    First;
    while not EOF do
    begin
      BrandName := FieldByName('BrandName').AsString;
      WebSite := FieldByName('WebSite').AsString;
      Email := FieldByName('Email').AsString;
      MySQLDB.BlankQuery.SQL.Clear;
      MySQLDB.BlankQuery.SQL.Add('INSERT INTO BrandName (BrandName, WebSite, Email) VALUES (:BrandName, :WebSite, :Email)');
      MySQLDB.BlankQuery.ParamByName('BrandName').AsString := BrandName;
      MySQLDB.BlankQuery.ParamByName('WebSite').AsString := WebSite;
      MySQLDB.BlankQuery.ParamByName('Email').AsString := Email;
      MySQLDB.BlankQuery.ExecSQL;
      Next;
    end;
  end;
end;

Использование параметризованных запросов не только предотвращает потенциальные проблемы с обработкой специальных символов, но и повышает безопасность приложения, предотвращая SQL-инъекции.

Создано по материалам из источника по ссылке.

Проблема заключается в неправильной обработке специального символа '!' в SQL-запросах, выполняемых через компоненты FireDAC в Delphi 10.4 при работе с базой данных SQLite.

Комментарии и вопросы

Получайте свежие новости и обновления по Object Pascal, Delphi и Lazarus прямо в свой смартфон. Подпишитесь на наш Telegram-канал delphi_kansoftware и будьте в курсе последних тенденций в разработке под Linux, Windows, Android и iOS

:: Главная :: SQL ::