Как в с++ правильно вставить переменную в строку sql запроса?

Question

[EVOSandru6]

Есть такой запрос:

myQuery->SQL->Text = "SELECT  f_department.CODE, f_department.NAME FROM f_department LEFT JOIN l_modules_22_department ON l_modules_22_department.CODE_2 = f_department.CODE WHERE l_modules_22_department.CODE_1 = '"+ depBlock[i].moduleCode + "'";

Выдает ошибку:

[BCC32 Error] Unit1.cpp(1099): E2085 Invalid pointer addition
Full parser context
Unit1.cpp(1014): parsing: void showDepFormCreate(pack *)

Ошибка исчезает, если я меняю таким образом:

myQuery->SQL->Text = "SELECT  f_department.CODE, f_department.NAME FROM f_department LEFT JOIN l_modules_22_department ON l_modules_22_department.CODE_2 = f_department.CODE WHERE l_modules_22_department.CODE_1 = " + depBlock[i].moduleCode;

Таким образом я теряю одинарные кавычки, что по идее не очень хорошо, помогите разобраться

Answer 1

[Армянское Радио]

Никогда не стройте запросы путем конкатенации!
Даже одинарные кавычки не спасут вас от SQL-инъекций. Ищите, как в вашей библиотеке для mySQL реализовать prepare-execute.

Answer 2

[Rsa97]

Приведите строки явно к AnsiString:

myQuery->SQL->Text = (AnsiString)"SELECT  f_department.CODE, f_department.NAME FROM f_department LEFT JOIN l_modules_22_department ON l_modules_22_department.CODE_2 = f_department.CODE WHERE l_modules_22_department.CODE_1 = '"
    + depBlock[i].moduleCode + (AnsiString)"'";

Answer 3

[EVOSandru6]

Мне такой вариант понравился

myQuery->SQL->Text = String("SELECT  f_department.CODE, f_department.NAME FROM f_department LEFT JOIN l_modules_22_department ON l_modules_22_department.CODE_2 = f_department.CODE WHERE l_modules_22_department.CODE_1 = ") + QuotedStr(depBlock[i].moduleCode);