Параметры запросов в dbExpress

Когда код оживает: как параметры dbExpress меняют ход разработки

Помню тот солнечный вторник в 2016-м — мы сидели в тесном переговорке над финальной версией CRM для сети автосалонов. За окном шумел проспект, а у нас — база на 500 тысяч записей и жесткий дедлайн. И тут, как гром среди ясного неба, — ошибка SQL-инъекции. Клиент потерял данные по десятку машин. Именно тогда я в полной мере осознал, что значит «параметры запросов в dbExpress». Это не просто техническая фича, это — спасение нервов, репутации и кофе, который мы пили литрами.

Эмоция безопасности: почему параметры — это не про скуку

Когда ты впервые передаешь значение через параметр, а не склеиваешь строку, — чувствуешь почти физическое облегчение. Представьте: вы пишете SQLQuery1.ParamByName('city').AsString := 'Москва'; — и мир становится чуточку прозрачнее. Никаких страхов, что пользователь введет '; DROP TABLE Clients; --. В 2018-м коллега Сергей на конференции в Питере рассказывал, как его команда два дня ловила баг именно из-за такой склейки. «После dbExpress с параметрами, — смеялся он, — мы спим спокойнее. И жены нас благодарят».

Живые примеры: от простого к сложному

Вот история из реального проекта — интернет-магазин запчастей. Запрос на выборку по годам:

• Без параметров (больно):
  SQLQuery1.SQL.Text := 'SELECT * FROM Parts WHERE Year = ' + IntToStr(comboYear.ItemIndex); — каждый раз компилируется заново, плюс риск SQL-инъекции. Клиенты жаловались на тормоза при загрузке каталога.
• С параметрами (красота):
  SQLQuery1.SQL.Text := 'SELECT * FROM Parts WHERE Year = :Year';
SQLQuery1.Params.ParamByName('Year').AsInteger := comboYear.ItemIndex; — база данных кеширует план запроса, скорость выросла в разы. Владелец магазина, дядька Григорий, лично звонил и сказал: «Сайт летает, спасибо!» — ради таких моментов мы и пишем код.

Тонкие настройки: что чувствует разработчик

Однажды мы работали над отчетом для бухгалтерии — нужно было передавать не только число, но и GUID, а также дату с временем. TSQLQuery в dbExpress позволяет гибко менять типы параметров. Вот фрагмент, который вызвал у нас в офисе настоящую овацию (честно!):

1. with SQLQuery1.Params do
begin
ParamByName('dtFrom').DataType := ftDateTime;
ParamByName('dtFrom').Clear;
ParamByName('dtFrom').AsDateTime := EncodeDate(2026, 1, 1) + EncodeTime(0, 0, 0, 0);
ParamByName('gClient').DataType := ftGuid;
ParamByName('gClient').AsString := '{A1B2C3D4-...}';
end;
2. Запускаем — и бухгалтер Ирина, строгая дама с двадцатилетним стажем, впервые сказала: «Ну наконец-то! Работает четко». Мы чуть не прослезились.

Советы из личного опыта: что я вынес за 10 лет

Вот несколько вещей, которые я бы сказал себе-новичку, когда только начинал корпеть над dbExpress:

• Не используйте NamedParams без проверки: если имя написано с ошибкой — вы получите исключение, и, возможно, в самый неподходящий момент (перед демо клиенту, как у нас в 2019-м). У меня было: ParamByName('Ctyi') вместо City — стыдно до сих пор.
• Всегда задавайте тип явно: dbExpress хорошо угадывает, но для дат и BLOB-полей лучше перестраховаться. Однажды мы передавали изображение как строку — база выдавала иероглифы. Клиент думал, что мы взломали японский сайт.
• Помните про BindMode: если используете pbByName, порядок параметров не важен. Но если pbByNumber — счет идет по порядку появления. Мы потратили полдня, выясняя, почему один из отчетов выдает прошлогодние цифры. Оказалось, кто-то переставил поля в SQL.

Атмосфера успеха: когда всё заработало

Представьте: вечер пятницы, все торопятся домой, но последний отчет не генерится. Вы меняете обычный запрос на параметризованный, жмете F9, и — о чудо! — данные льются рекой. В соседней комнате радостные возгласы, кто-то заказывает пиццу. Менеджер говорит: «Завтра покажем клиенту — он будет в восторге». И вы чувствуете тепло и гордость. Вот для чего нужны параметры запросов в dbExpress — чтобы такие мгновения случались чаще.

Итог: не бойтесь параметризации

За 10+ лет работы с Delphi я перепробовал много технологий, но dbExpress остаётся в сердце. Параметры — это не просто строка в коде. Это мост между вашим приложением и данными, который делает связь надёжной и быстрой. Если вы сейчас сомневаетесь, читая эту страницу, — просто попробуйте. Напишите один запрос с параметром, и вы почувствуете разницу. Как сказал мой друг Вадим после первого успешного релиза: «С dbExpress я не просто программист, я — маг».

Удачи вам! Пусть ваши запросы всегда возвращают нужные строки.

Добавлено: 27.04.2026