Ayuda con monthcalendar y sql server

[ecfisa]

Hola krewer.

Me alegra mucho que hayas solucionado tu problema y estaría buenísimo que compartieras con nosotros la solución que encontraste.

Por favor, cuando incluyas código en tu mensaje usa las etiquetas para darle mayor legibilidad al mismo, su uso es:



Saludos y gracias por tu colaboración.

[krewer]

Hola asi lo hice

Código Delphi [-]
FormatDateTime('YYYY/MM/DD', fecha.Date);
  sql:='select NICK,HORA,MENSAJE,ESTADO from BITACORA where nick='+quotedstr(date)+' and FECHA=:fecha order by hora desc';
  fdata.consulta5.Close;
  fdata.consulta5.SQL.Clear;
  fdata.consulta5.SQL.Add(sql);
  fdata.consulta5.ParamByName('fecha').AsDate:=fecha.Date;
  fdata.consulta5.Open;

[krewer]

Lo mejore de esta manera

Código Delphi [-]
sql:='select NICK,HORA,MENSAJE,ESTADO from BITACORA where nick='+quotedstr(nombre)+' and FECHA='+quotedstr(FormatDateTime('YYYY/MM/DD', fecha.Date))+' order by hora desc';
fdata.consulta7.Close;
fdata.consulta7.SQL.Clear;
fdata.consulta7.SQL.Add(sql);
fdata.consulta7.Open;

Así no paso ningún dato por parámetro

[ecfisa]

Hola krewer.

Primero que nada agradezco que hayas compartido tu solución.

Aunque el último código es mas compacto, es vulnerable a la inyección SQL. El uso de parámetros evita totalmente esa posibilidad.

Usándo parámetros:

Código Delphi [-]
  with fdata do
  begin
    Close;
    SQL.Clear;
    SQL.Add('select NICK, HORA, MENSAJE, ESTADO ');
    SQL.Add('from BITACORA ');
    SQL.Add('where nick = :PNOMBRE and FECHA = :PFECHA');
    ParamByName('PNOMBRE').AsString:= nombre;
    ParamByName('PFECHA').AsString:= FormatDateTime('YYYY/MM/DD', fecha.Date);
    Open;
  end;

Generámos un código un poco más extenso, pero mucho más seguro.

También hay que destacar que si el valor de 'nombre' es tomado internamente por la aplicación y no ingresado por el usuario, no hay posibilidad de inyección SQL. De todos modos, el uso de parámetros es una buena costumbre.

Un saludo.