FTP | CCD | Buscar | Trucos | Trabajo | Foros |
|
Registrarse | FAQ | Miembros | Calendario | Guía de estilo | Temas de Hoy |
|
Herramientas | Buscar en Tema | Desplegado |
#1
|
|||
|
|||
repetir consulta para mas de una tabla
Hola
Necesitaria por optimizar codigo de la aplicacion hacer una consulta que fuera valida para mas de una tabla y pasando el nombre de la tabla y los campos como parametros. Me explico: Tengo tabla1datviejos y tabla1datnuevos por un lado(las dos tablas con la misma estructura) Por otro tabla2datviejos y tabla2datnuevos (las dos tablas.con la misma estructura) Necesitaria hacer lo siguiente: 1.-mirar en tabla1datviejos si hay datos almacenados en blanco(null)para un campo en concreto 2.-actualizar el campo con un valor en caso de que haya blancos(null) 3.- recorrer la tabla de inicio a fin y comparar los datos con tabla1datnuevos y añadir,modificar... los cambios que haya Y todo esto mismo con tabla2datviejos Habria manera de hacerlo todo en una o varias funciones pero siendo el codigo valido independiente de la tablancon labque se trabaje?vamos dicho de otro modo pasando por parametr,variable... el nombre de la tabla? Antes de preguntar busque y encontre este hilo; http://www.clubdelphi.com/foros/showthread.php?t=75875 No es muy seguro hacerlo alguien sabe de alguna manera que sea segura y que funcionaria? Ahorraria mucho codigo a la hora de programar Gracias y saludos |
#2
|
||||
|
||||
¿Para qué base datos?
¿Desde SQL (base de datos) o desde Delphi? |
#3
|
|||
|
|||
Hola
Seria desde delphi7 y estoy utilizando componentes ADOQuery Probe con: Código:
adoquery1.sql.add (select * from :tab where :campo Is Null) Adoquery1.parameters.parambyname('tab').value:=combobox1.text; Antes de ejecutar la consulta,utilizo dos combobox y en ellos cargo los nombres de las tablas de la bd. Asi, mas tarde la intencion es en cada uno de ellos seleccionar la tabla origen, la tabla destino y poder comparar los datos entre otras cosas. En un momento dado la origen y destino puede ser una y en otro momento purde ser otra. De ahi el interes de poder hacer la consulta lo mas flexible posible. Si no, se me ocurre hacer para cada tarea un menu con las diferentes opciones, pero a nivel de prigramacuon no creo que sea lo ideal Agradezco de antemano cualquier sugerencia |
#4
|
|||
|
|||
ante todo disculpad mi ignorancia en este tema;
en el post que puse mas arriba habia un enlace a un hilo que trataba de inyeccion sql. he recuperado un post de ese hilo con este enlace http://es.wikipedia.org/wiki/Inyecci%C3%B3n_SQL que me parece muy interesante pero que lamentablemente poco entiendo el problema que expuse en este hilo lo he solucionado de esta manera: Código:
vamos; otro ejemplo, con este codigo: Código:
... ADOQuery1.sql.add ('SELECT campo1,campo2 FROM tabla WHERE condicion =:parametro'); ADOQuery1.parameters.parambyname('parametro').value := unvalor ; ... repito, disculpad mi ignorancia gracias y saludos, |
#5
|
||||
|
||||
Pero no mezcles las cosas, ahora no se sabe qué has preguntado ni de lo que trata el hilo
|
#6
|
|||
|
|||
Cita:
la cuestion que pregunto es si con el codigo que he puesto arriba, la aplicacion es segura y no vulnerable a ataques de inyeccion sql. como podreis imaginar los datos almacenados en la bd tienen que ser CONFIDENCIALES y no pueden estar expuestos a que cualquiera pueda alterarlos, leerlos... no repito el codigo otra vez esta arriba, pero esto es una pincelada Código:
sql.add('SELECT * FROM '+torigen); Código:
... ADOQuery1.sql.add ('SELECT campo1,campo2 FROM tabla WHERE condicion =:parametro'); ADOQuery1.parameters.parambyname('parametro').value := unvalor ; ... |
#7
|
||||
|
||||
Con parámetros, es lo más seguro.
|
#8
|
|||
|
|||
muchas gracias Casimiro Notevi
deduzco entonces que esto es seguro Código:
... ADOQuery1.sql.add ('SELECT campo1,campo2 FROM tabla WHERE condicion =:parametro'); ADOQuery1.parameters.parambyname('parametro').value := unvalor ; ... Código:
sql.add('SELECT * FROM '+torigen); Código:
sql.add('SELECT * FROM :torigen'); parameters.parambyname('torigen').value := combobox1.text ; si estoy en lo cierto, alguna idea de como podria implementarlo para que funcionara y fuera seguro? gracias nuevamente |
#9
|
||||
|
||||
En cuanto a lo de la seguridad, según tengo entendido por lo que he leído, sí, es así.
En cuanto al error, pues no sé, si no pones más código |
#10
|
|||
|
|||
Cita:
Pues el codigo la verdad es que no tiene misterio Error: Código:
error de syntaxis en la clausula From Igual me repito mucho pero habria otra manera de hacerlo garantizando la seguridad? Necesito que la consulta sea flexible a que el usuario pueda seleccionar las tablas y campos de la bd sobre las que hacer la consulta. Los software comerciales lo hacen; posible sera pero en el como podriais darme idea?a mi lo que se me ocurrio ya lo he probado pero me da los problemas que ya he descrito en post de mas arriba. Gracias y saludos Última edición por Casimiro Notevi fecha: 26-11-2012 a las 14:01:03. |
#11
|
||||
|
||||
No sé access, pero normalmente el nombre de una tabla no puede ser un parámetro.
Lo de la seguridad, tendrás que explicarte mejor, ¿de qué seguridad estamos hablando?, ¿a qué te refieres con "los software comerciales lo hacen"? ¿A qué te refieres con "necesito que la consulta sea flexible"? Por cierto, eso de "select * ..." es la primera regla de la ineficiencia, nunca hacer eso. |
#12
|
|||
|
|||
Gracias Casimiro Notevi por el seguimiento de este post
No se de que otra manera debo de explicarme;llevo todo el rato hablando de lo mismo Cuando hago referencia a la seguridad: Seguridad=garantizar la confidencialidad de los datos;que no haya problemas de inyeccion sql Cuando hago referencia a flexibilidad: Flexibilidad=exactamente lo que pongo arriba no se explicarlo de otro modo;si tengo un combobox donde se cargan los nombres de las tablas de la bd, el usuario tiene que poder elegir el nombre de la tabla en ese combobox y el valor de combobox1.tex sera el nombre de la tabla que ira despues de la clausula FROM en la consulta sql Que lo hagan los software comerciales es exactamente eso;he visto software que permiten elegir nombres de tablas,campos de la tabla... y sacar informes personalizados; supongo que el nombre de la tabla y los campos seran parametros? Asi esta mas claro? Saludos y gracias |
#13
|
||||
|
||||
En cuanto a la seguridad te recomiendo que hagas una búsqueda sobre por los foros, se ha tratado en alguna ocasión, aunque si quieres algo más amplio entonces es mejor que consultes webs especializada en el tema.
Lo de componer las consultas no se suele hacer así, eso que dices que "hacen los programas profesionales" es realmente componer la sentencia, me explico con un ejemplo a lo bruto:
|
#14
|
|||
|
|||
Muchisimas gracias
Buscare por ahi a ver si encuentro algo Muy agradecido por todo Saludos |
|
|
Temas Similares | ||||
Tema | Autor | Foro | Respuestas | Último mensaje |
funcion para no repetir codigo:( | ivantj24 | Varios | 12 | 18-10-2012 22:27:45 |
Componente para buscar registros, para no repetir codigo. | flystar | Conexión con bases de datos | 9 | 28-04-2010 23:16:15 |
consulta con tabla temporal para hacer acumulados | tgsistemas | MySQL | 4 | 19-03-2010 11:43:41 |
Componente para repetir informacion | apablado | Varios | 0 | 30-03-2009 17:26:12 |
Consulta SQL para datos ordenados en otra tabla | cotoprix | SQL | 8 | 26-01-2004 23:54:53 |
|