delphi - AdoQuery 无法使用 SHOW : command

Question

我正在撕扯我的头发!!

即使是像这样简单的事情:

procedure MyAdoQueryTest();
   const MYSQL_CONNECT_STRING='Driver={MySQL ODBC 5.1 Driver};Server=%s;Port=3306;Database=%s;User=%s;Password=%s;Option=3;';

   var   AdoConnection  : TADOConnection;
         ADOQuery : TADOQuery;
         Param    : TParameter;
begin
   AdoConnection := TADOConnection.Create(Nil);
   AdoConnection.ConnectionString := Format(MYSQL_CONNECT_STRING,['localhost',
                                                                  'mysql',
                                                              'root',
                                                              '']);
    AdoConnection.LoginPrompt := False;
    AdoConnection.Connected := True;

   ADOQuery := TADOQuery.Create(Nil);
   ADOQuery.Connection := AdoConnection;
   ADOQuery.Sql.Clear();
   ADOQuery.SQl.Add('SHOW :what_to_show');

   Param := ADOQuery.Parameters.ParamByName('what_to_show');
   Param.DataType := ftString;
   Param.Value := 'databases';

   ADOQuery.Prepared := true;
   ADOQuery.Active := True;
end;

(顺便说一句，我真的需要使用“Param”变量和 3 个语句，还是可以只使用“ADOQuery.Parameters.ParamByName('what_to_show').Value := 'databases';？”

无论如何，当我运行它时，我在 ADOQuery.SQl.Add('SHOW :what_to_show'); 处遇到异常，其中显示“参数类型错误，超出了可接受的范围”范围或相互冲突”。

我想做的是创建 2 个中心函数:一个接受并执行任何不会返回任何数据的 SQL 语句(例如 INSERT INTO)，另一个会接受并执行任何数据(例如 SELECT)。

我目前仅使用 AdoConnection，但现在尝试使用 AdoQuery，因为我想参数化我的 SQL 语句以处理带引号的字符串。

我可以有halpz吗？

Answer 1

错误在这里:

ADOQuery.SQl.Add('SHOW :what_to_show');

:Param 只能用于值，不能用于动态列/关键字/表/数据库名称。
这是因为，如果它像这样工作，您将面临 SQL 注入(inject)风险，具体取决于参数的内容。

为了解决这个问题，您必须将 what_to_show 内容注入(inject)到 SQL 字符串中。

像这样:

var
  what_to_show: string;
begin
  ....
  what_to_show:= 'tables';
  ADOQuery.SQL.Text:= ('SHOW '+what_to_show);
  ....

现在就可以了。

警告
确保测试您注入(inject) SQL 的所有内容，以防止用户将其 SQL 代码注入(inject)您的查询中。
参数可以防止 SQL 注入(inject)，但由于您不能在此处使用它们，因此您需要根据预先批准的值列表来检查它们。例如包含所有允许的内容的 stringlist。
转义或使用特殊字符是没有用的。

安全注入(inject)示例代码

var
  what_to_show: string;
  i: integer;
  inputapproved: boolean;
begin
  ....
  what_to_show:= lower(trim(someinput));
  i:= 0;
  inputapproved:= false;
  while (i < WhiteList.count) and not(inputapproved) do begin
    inputapproved:= ( what_to_show = lower(Whitelist[i]) );
    Inc(i);
  end; {while}
  if inputapproved then ADOQuery.SQL.Text:= ('SHOW '+what_to_show);
  ....