vb@rchiv
VB Classic
VB.NET
ADO.NET
VBA
C#
 Schützen Sie Ihre Software vor Software-Piraterie - mit sevLock 1.0 DLL!  
 vb@rchiv Quick-Search: Suche startenErweiterte Suche starten   Impressum  | Datenschutz  | vb@rchiv CD Vol.6  | Shop Copyright ©2000-2024
 
zurück

 Sie sind aktuell nicht angemeldet.Funktionen: Einloggen  |  Neu registrieren  |  Suchen

VB & Datenbanken
ADO-Recordset lässt auch Insert, Update und Delete zu 
Autor: lanzarote
Datum: 17.01.14 16:15
In meinem VB6-Programm integriere ich einen kleinen Report-Generator. Dazu gibt der Anwender in eine Textbox eine SQL-Abfrage ein. Diese wird per Recordset ausgeführt: 

 
    Set mvarRs = New ADODB.Recordset
    Set mvarRs.ActiveConnection = mvarConn
    mvarRs.LockType = adLockReadOnly    
    mvarRs.CursorLocation = adUseClient
    mvarRs.CursorType = adOpenStatic   
    mvarRs.Open mvarSQL
Obwohl "ReadOnly" kann der Anwender Inserts, Updates und Deletes durchführen. Das Recordset führt alles aus, was in mvarSQL steht (nicht nur Selects).

Kann das Recordset irgendwie veranlasst werden, nur Lesezugriffe durchzuführen?

Alternativ müsste ich eben die Textbox nach entsprechenden Schlüsselwörtern prüfen. Besser wäre das Recordset wirklich als ReadOnly einstellen zu können.

Dieter R.
Themenbaum einblendenGesamtübersicht  |  Zum Thema  |  Suchen

Re: ADO-Recordset lässt auch Insert, Update und Delete zu 
Autor: Franki
Datum: 19.01.14 01:25
Hallo Dieter,

was hast du denn da für eine Anwendung wo der User beliebige SQL Statements eintippen kann? Das setzt ja voraus, dass ich deine User mit SQL auskennen (sollten).

Ich weise mal auf das Stichwort SQL-Injection hin, dazu solltest du einiges im Netz finden.

Aber unabhängig davon, weise doch die Parameter mal erst direkt beim .Open zu. Dann sollte das eigentlich automatisch funktionieren, bzw. eine Fehlermeldung erscheinen wenn es nicht passt. Welche DB verwendest du eigentlich?

Gruß
Frank
Themenbaum einblendenGesamtübersicht  |  Zum Thema  |  Suchen

Re: ADO-Recordset lässt auch Insert, Update und Delete zu 
Autor: lanzarote
Datum: 20.01.14 12:13
Hallo Frank,

die Benutzer können die Abfrage sowohl per Drag & Drop erstellen (über Komponente ActiveQueryBuilder), als auch das generierte SQL bearbeiten oder direkt eingeben.

Datenbank ist MS SQL Server. Ich werde es jetzt sicherheitshalber so machen, dass im SQL Server ein separater Login angelegt wird, der nur SELECT-Rechte erhält (auf bestimmte Tabellen). Verwende dann im Programm für den Report-Generator automatisch diesen Login.

Gruß Dieter R.
Themenbaum einblendenGesamtübersicht  |  Zum Thema  |  Suchen

Sie sind nicht angemeldet!
Um auf diesen Beitrag zu antworten oder neue Beiträge schreiben zu können, müssen Sie sich zunächst anmelden.

Einloggen  |  Neu registrieren

Funktionen:  Zum Thema  |  GesamtübersichtSuchen 

nach obenzurück
  
   

Copyright ©2000-2024 vb@rchiv Dieter Otter
Alle Rechte vorbehalten.
Microsoft, Windows und Visual Basic sind entweder eingetragene Marken oder Marken der Microsoft Corporation in den USA und/oder anderen Ländern. Weitere auf dieser Homepage aufgeführten Produkt- und Firmennamen können geschützte Marken ihrer jeweiligen Inhaber sein.

Diese Seiten wurden optimiert für eine Bildschirmauflösung von mind. 1280x1024 Pixel