Delphi – 防止SQL注入

query.SQL.Text := 'select * from table_name where name=:Name';

此代码是安全的，因为您正在使用参数。
参数总是安全的从SQL注入。

不安全

var Username: string;
...
query.SQL.Text := 'select * from table_name where name='+ UserName;

是不安全的，因为用户名可以是名称;删除table_name;
导致执行以下查询。

select * from table_name where name=name; Drop table_name;

也不安全

var Username: string;
...
query.SQL.Text := 'select * from table_name where name='''+ UserName+'''';

因为如果用户名是’或(1 = 1);删除表名 – –
它将导致以下查询：

select * from table_name where name='' or (1=1); Drop Table_name; -- '

但是这段代码是安全的

var id: integer;
...
query.SQL.Text := 'select * from table_name where id='+IntToStr(id);

因为IntToStr()只接受整数，所以没有SQL代码可以注入到查询字符串这种方式，只有数字(这是你想要的，因此允许)

但我想做的东西，不能用参数

参数只能用于值。它们不能替换字段名称或表名称。
所以如果你想执行这个查询

query:= 'SELECT * FROM :dynamic_table '; {doesn't work}
query:= 'SELECT * FROM '+tableName;      {works,but is unsafe}

第一个查询失败，因为您不能使用表或字段名称的参数。
第二个查询是不安全的，但是这是可以做到的唯一的方法。
如何保持安全？

您必须检查字符串tablename批准的名称列表。

Const
  ApprovedTables: array[0..1] of string = ('table1','table2');

procedure DoQuery(tablename: string);
var
  i: integer;
  Approved: boolean;
  query: string;
begin
  Approved:= false;
  for i:= lo(ApprovedTables) to hi(ApprovedTables) do begin
    Approved:= Approved or (lowercase(tablename) = ApprovedTables[i]);
  end; {for i}
  if not Approved then exit;
  query:= 'SELECT * FROM '+tablename;
  ...

这是唯一的办法做到这一点，我知道。

BTW您的原始代码有错误：

query.SQL.Text := 'select * from table_name where name=:Name where id=:ID';

应该

query.SQL.Text := 'select * from table_name where name=:Name and id=:ID';

在一个(子)查询中不能有两个位置