IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Bases de données Delphi Discussion :

Paramètre requête DROP


Sujet :

Bases de données Delphi

  1. #1
    Membre habitué
    Homme Profil pro
    Ingénieur systèmes et réseaux
    Inscrit en
    décembre 2003
    Messages
    144
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Var (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Ingénieur systèmes et réseaux
    Secteur : Distribution

    Informations forums :
    Inscription : décembre 2003
    Messages : 144
    Points : 179
    Points
    179
    Par défaut Paramètre requête DROP
    Bonjour

    j'ai quelques soucis avec la gestion des paramètres lors de l'utilisation des commandes sql "DROP SCHEMA" ou "DROP USER"
    composants utilisés TFDQuery et TFDConnection
    Base de donnée msssql
    Delphi 11.1, 11.0

    le but de l'opération c'est de supprimer des utilisateurs d'une base de données
    ou le login est passé par un tedit

    1er test
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
      FDQuery1.sql.add ( 'drop schema :login' );
      FDQuery1.ParamByName ( 'login' ).AsString := editLogin.text;
      fdquery1.ExecSQL;
    Résultat :
    Le projet Project1.exe a déclenché la classe d'exception EMSSQLNativeException avec le message '[FireDAC][Phys][ODBC][Microsoft][SQL Server Native Client 11.0][SQL Server]Incorrect syntax near '@P1'.'.
    2em Test
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    FDQuery1.sql.add ( 'drop schema [:login]' );
    FDQuery1.ParamByName ( 'login' ).AsString := editLogin.text;
    fdquery1.ExecSQL;
    Résultat :
    Le projet Project1.exe a déclenché la classe d'exception EMSSQLNativeException avec le message '[FireDAC][Phys][ODBC][Microsoft][SQL Server Native Client 11.0][SQL Server]Cannot drop the schema ':login', because it does not exist or you do not have permission.'.
    ici il ne semble pas remplacer le paramètre

    3em Test
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    FDConnection1.ExecSQL( 'drop schema :login ' , [editLogin.text]);
    Résultat :
    Le projet Project1.exe a déclenché la classe d'exception EMSSQLNativeException avec le message '[FireDAC][Phys][ODBC][Microsoft][SQL Server Native Client 11.0][SQL Server]Incorrect syntax near '@P1'.'.
    4em Test
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    FDConnection1.ExecSQL( 'drop schema [:login] ' , [editLogin.text]);
    Résultat :
    Le projet Project1.exe a déclenché la classe d'exception EArgumentOutOfRangeException avec le message 'Argument hors limites'.
    Sans les paramètres cela fonctionne bien
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    FDConnection1.ExecSQL( 'drop schema [editLogin.text]');
    donc je peux passer par un stringreplace mais pas top au niveau injection sql
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    FDConnection1.ExecSQL( stringreplace('drop user [%login%]','%login%',editLogin.text,[]));

  2. #2
    Membre émérite Avatar de pprem
    Homme Profil pro
    MVP Embarcadero - formateur&développeur Delphi, PHP et JS
    Inscrit en
    juin 2013
    Messages
    1 541
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Loiret (Centre)

    Informations professionnelles :
    Activité : MVP Embarcadero - formateur&développeur Delphi, PHP et JS
    Secteur : Enseignement

    Informations forums :
    Inscription : juin 2013
    Messages : 1 541
    Points : 2 923
    Points
    2 923
    Par défaut
    pour limiter les risques d'injection SQL, un QuoteStr ferait pas de mal

  3. #3
    Rédacteur/Modérateur
    Avatar de Andnotor
    Inscrit en
    septembre 2008
    Messages
    5 301
    Détails du profil
    Informations personnelles :
    Localisation : Autre

    Informations forums :
    Inscription : septembre 2008
    Messages : 5 301
    Points : 11 805
    Points
    11 805
    Par défaut
    Assure-toi que ResourceOptions -> ParamCreate et ParamExpand sont à TRUE. Autant au niveau du TFDQuery que du TFDConnection.

  4. #4
    Membre habitué
    Homme Profil pro
    Ingénieur systèmes et réseaux
    Inscrit en
    décembre 2003
    Messages
    144
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Var (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Ingénieur systèmes et réseaux
    Secteur : Distribution

    Informations forums :
    Inscription : décembre 2003
    Messages : 144
    Points : 179
    Points
    179
    Par défaut
    Bonjour

    @pprem : je note le QuoteStr
    @Andnotor : c'est déjà a true pour les deux

  5. #5
    Expert éminent sénior
    Avatar de ShaiLeTroll
    Homme Profil pro
    Développeur C++\Delphi
    Inscrit en
    juillet 2006
    Messages
    12 696
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 41
    Localisation : France, Seine Saint Denis (Île de France)

    Informations professionnelles :
    Activité : Développeur C++\Delphi
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : juillet 2006
    Messages : 12 696
    Points : 22 772
    Points
    22 772
    Par défaut
    C'est normal, c'est dans le premier cas un Identificateur régulier et dans le second cas un [Identificateur délimité]

    Le Prepare de paramètres n'est pas pris en charge par MSSQL ni par Delphi quand il s'agit de faire un Binding sur un "Identifier" puisque que le type n'existe pas, ce n'est pas un String, ni un Numeric ...

    Il faut utiliser des Macros à la place qui font de la substitution de texte au lieu de passer par du Binding


    QuotedStr pour un Identifier, j'ai des gros doutes sur la gestion du double ' pour introduire ' litéral,
    Il est préférable d'utiliser les [] délimite l'identifier
    Si l'on peut utiliser ' pour un 'Identificateur délimité', normalement [] et ' sont interdits dans un Identificateur, leur présence devrait empêcher de lancer la requête
    Mais une petite protection contre --, /* */ et ; et la présence de séquence [owner].[identifier] ne serait pas une mauvaise idée si l'on met ce genre de fonctionnalité entre les mains d'un utilisateur.

    Et plus simple Format au lieu de StringReplace (même si je le pratique aussi) mais regarde si tu ne peux pas écrire une protection du genre

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    FDConnection1.ExecSQL( Format('IF USER_ID(''%s'') IS NOT NULL drop user [%0:s]', [editLogin.text]));
    Aide via F1 - FAQ - Guide du développeur Delphi devant un problème - Pensez-y !
    Attention Troll Méchant !
    "Quand un homme a faim, mieux vaut lui apprendre à pêcher que de lui donner un poisson" Confucius
    Mieux vaut se taire et paraître idiot, Que l'ouvrir et de le confirmer !
    L'ignorance n'excuse pas la médiocrité !

    L'expérience, c'est le nom que chacun donne à ses erreurs. (Oscar Wilde)
    Il faut avoir le courage de se tromper et d'apprendre de ses erreurs

  6. #6
    Membre habitué
    Homme Profil pro
    Ingénieur systèmes et réseaux
    Inscrit en
    décembre 2003
    Messages
    144
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Var (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Ingénieur systèmes et réseaux
    Secteur : Distribution

    Informations forums :
    Inscription : décembre 2003
    Messages : 144
    Points : 179
    Points
    179
    Par défaut
    Bonjour

    Merci ShaiLeTroll
    je comprends mieux maintenant pourquoi les paramètres n’étaient pas gérés
    le code suivant fonctionne bien j'ai juste remplacé USER_ID par DATABASE_PRINCIPAL_ID car la première semble dépréciée
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    FDConnection1.ExecSQL ( format ( 'IF DATABASE_PRINCIPAL_ID ( ''%s'' ) IS NOT NULL DROP USER [%0:s]', [edit1.text] ) );
    je note aussi la protection contre --, /* */ et ; et la présence de séquence [owner].[identifier]

+ Répondre à la discussion
Cette discussion est résolue.

Discussions similaires

  1. [AC-2007] problème paramètre requête
    Par RMDIM dans le forum Requêtes et SQL.
    Réponses: 2
    Dernier message: 15/02/2012, 14h09
  2. Paramétrer requête sql avec Dreamweaver
    Par zahinassi dans le forum Dreamweaver
    Réponses: 4
    Dernier message: 15/02/2012, 10h09
  3. Paramètre requête SQL
    Par cycy_88 dans le forum Débuter
    Réponses: 2
    Dernier message: 07/05/2010, 17h25
  4. Paramétre requêtes et état
    Par baj dans le forum Access
    Réponses: 6
    Dernier message: 24/07/2006, 23h53
  5. Paramétrer requête
    Par frevale dans le forum Access
    Réponses: 5
    Dernier message: 26/12/2005, 06h50

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo