ms-access
Parametrisierte Abfragen

.NET Framework ASP.NET C# Language excel-vba Java Language MySQL SQL Microsoft SQL Server Visual Basic .NET Language VBA
Suche…


Einführung

Parametrisierte Abfragen können zur Abwehr von SQL Injection-Angriffen verwendet werden.

Anfälliger Ansatz: Verkettete SQL-Zeichenfolge mit Formularverweisen

Dies ist der typische Ansatz für Anfänger, die SQL-Aktionsabfragen erstellen. Sie sind anfällig für SQL-Injection-Angriffe vom Typ Bobby Tables . 

Dim strSQL As String

strSQL = "INSERT INTO Employees chrFirstName, chrLastName, chrPhone " _
         & "VALUES ('" & Me!txtFirstName & "','" & Me!txtLastName & "','" & Me!txtPhone & "');"

CurrentDb.Execute strSQL

QueryDef Parametrisierter Abfrageansatz

Dieser Ansatz verhindert, dass ein Benutzer eine zweite SQL-Anweisung zur Ausführung in seine Eingabe einbettet. 

Dim strSQL As String
Dim db As DAO.Database
Dim qdf As DAO.QueryDef

strSQL = "PARAMETERS [FirstName] Text(255), [LastName] Text(255), [Phone] Text(255); " _
         & "INSERT INTO Employees (chrFirstName, chrLastName, chrPhone) " _
         & "VALUES ([FirstName], [LastName], [Phone]);"

Set db = CurrentDb

Set qdf = db.CreateQueryDef("", strSQL)
qdf.Parameters("FirstName") = Me!txtFirstName
qdf.Parameters("LastName") = Me!txtLastName
qdf.Parameters("Phone") = Me!txtPhone
qdf.Execute

Me!txtFirstName = vbNullString
Me!txtLastName = vbNullString
Me!txtPhone = vbNullString

qdf.Close
db.Close
Set qdf = Nothing
Set db = Nothing

Gültige Parametertypen:

  • DATETIME : für Datumsangaben (Parameter erwartet VBA- Date )
  • SHORT , LONG : Für ganze Zahlen ( SHORT erwartet Integer, LONG erwartet Long)
  • SINGLE , DOUBLE : Für Fließkommazahl (erwarten Sie Single und Double)
  • VARCHAR oder TEXT : Für Zeichenfolgen
  • MEMO oder LONGTEXT : Für Zeichenfolgen mit mehr als 255 Zeichen


Modified text is an extract of the original Stack Overflow Documentation
Lizenziert unter CC BY-SA 3.0
Nicht angeschlossen an Stack Overflow