Delphi考虑sql注入 QuotedStr

以前只在BS架构的项目中考虑了Sql注入问题，却不多考虑到用了多年的Delphi项目也应该考虑Sql注入的问题，今天作了个实验，成功完成注入，把表里数据所有删除，之后再作Delphi项目还真的考虑这个问题。

整体讲，大致知道有两种方式能够避免Delphi中的Sql注入：一、用QuotedStr替代'''进行字符串拼接；二、采用传参数的方式与数据库交互，这种方式哪天再仔细体验一下。

 

如下为一个小测试，一个简单的插入语句，若是Edit1内容为
abc') delete from tb1 insert into tb1(Id, Name) values(123, 'xxxx
则运行后，tb1表中以前数据将所有清除，只剩下insert into tb1(Id, Name) values(123, 'xxxx
添加的一条

 

procedure TForm1.Button1Click(Sender: TObject);
var
  sqlStr: String;
begin
  sqlStr := 'insert into tb1(Id, Name) values(1, ''' + edit1.Text + ''')';
  self.ADOQuery1.SQL.Text := sqlStr;
  self.ADOQuery1.ExecSQL;
  ShowMessage('成功完成Sql注入');
end;

 

 

改为sqlStr := 'insert into tb1(Id, Name) values(1, ' + QuotedStr(edit1.Text) + ')';

则可避免。

 

QuotedStr参考以下语句： 

adoquery1.sql.text:=
'select 字符型编号 from YourTable where 字符型编号='abc' and 整型编号=123';
等价于
adoquery1.sql.text:=
'select '+AFieldName+' from '+ATableName+' where '+AFieldName
+'='''+AStr+''' and 整型编号='+AnIntStr;
也等价于
adoquery1.sql.text:=
'select '+AFieldName+' from '+ATableName+' where '+AFieldName
+'='+QuotedStr(AStr)+' and 整型编号='+Inttostr(AnInt);
传到数据库服务器为：
select 字符型编号 from YourTable where 字符型编号='abc' and 整型编号=123