LlosLab Software Development BlogEngineering notes for PDF, Delphi, and document software developers.

Article technique

HotXLS Component: XLSX AES-protected output in Delphi

Programmation tableur

Creez, modifiez, inspectez, calculez et exportez des classeurs Excel directement depuis Delphi ou C++Builder. HotXLS est une bibliotheque native Object Pascal pour XLS et XLSX, concue pour outils bureau, traitements par lots, rapports et generation de documents sans automatisation Microsoft Excel.

Cet article s'adresse à teams delivering password-protected XLSX files from Delphi services or desktop applications. Il traite XLSX AES-protected output comme une ingénierie documentaire de production, et non comme un simple appel de composant.

Le risque pratique est que protected workbook output can satisfy a password prompt but still fail policy if key handling, password delivery, viewer compatibility, and unsupported encrypted-read paths are unclear. Le flux doit donc produire un contrat écrit, des diagnostics observables et des fichiers de régression réalistes.

Décisions d'architecture

Separate workbook protection from file encryption. password generation, delivery, rotation, escrow, and retry policy / difference between workbook structure protection, sheet protection, and file encryption

  • password generation, delivery, rotation, escrow, and retry policy
  • difference between workbook structure protection, sheet protection, and file encryption
  • supported target applications and whether encrypted input reading is part of scope
  • temporary file and support-bundle handling for protected workbooks

Parcours d'implémentation

Create protected output from a named security profile. The order below keeps the workflow reviewable for Delphi and C++Builder teams.

  1. generate the workbook content and validate it before applying file encryption
  2. select the AES protection profile and obtain the password through approved code paths
  3. save the protected XLSX to a controlled temporary destination
  4. test open behavior with target Excel versions or downstream consumers
  5. log security profile identifiers without logging secrets

Preuves de validation

Protection evidence for delivery and support. Keep these fields with the output or support record.

  • security profile, output format, protection mode, target viewer test, and output hash
  • password delivery channel identifier without password value
  • temporary path, cleanup result, and retention rule
  • viewer compatibility result and operator-facing failure reason

Password-protected XLSX still needs workflow policy

AES-protected output is a delivery decision. The application should know how passwords are generated, transmitted, rotated, and never logged; it should also verify that target viewers can open the result.

Notes d'implémentation en production

Traitez HotXLS Component: XLSX AES-protected output in Delphi comme un contrat de service explicite autour des appels HotXLS, en séparant validation d'entrée, écriture du classeur, contrôle de sortie et preuves de support

  • Définir la source de données, les plages de cellules et le format de sortie avant de créer le classeur
  • Consigner le nombre de lignes, les feuilles, les avertissements et le chemin de sortie dans une trace relisible
  • Encapsuler les détails applicatifs dans des helpers testables plutôt que dans des événements UI
  • Rouvrir ou inspecter le fichier enregistré avant livraison à un autre système ou au client

Défaillances à répéter en test

  • Un SaveAs réussi ne prouve pas que le contrat métier est respecté
  • Polices, droits et paramètres régionaux peuvent différer entre serveur et poste de développement
  • Les journaux ne doivent exposer ni mots de passe, ni données client, ni liens internes

Exemple Delphi détaillé

L'exemple Delphi suivant montre une frontière de service pratique pour ce sujet, avec politiques, journalisation et validation dans une couche testable

procedure SaveProtectedXlsxReport(const OutputFile, Password: string; const Rows: TArray<TSecureRow>);
var
  Wb: TXLSXWorkbook;
  Sh: IXLSWorksheet;
  RowIndex: Integer;
  Row: TSecureRow;
  Policy: TEncryptionPolicy;
begin
  RequireStrongWorkbookPassword(Password);
  Policy := BuildEncryptionPolicy('customer-delivery', 256);
  Wb := TXLSXWorkbook.Create;
  try
    Sh := Wb.Sheets[0];
    Sh.Name := 'Secure Export';
    WriteHeaderRow(Sh, ['RecordId', 'Owner', 'Amount', 'Status']);

    RowIndex := 2;
    for Row in Rows do
    begin
      Sh.Range['A' + IntToStr(RowIndex)].Value := Row.RecordId;
      Sh.Range['B' + IntToStr(RowIndex)].Value := Row.Owner;
      Sh.Range['C' + IntToStr(RowIndex)].Value := Row.Amount;
      Sh.Range['D' + IntToStr(RowIndex)].Value := Row.Status;
      Inc(RowIndex);
    end;

    WriteEncryptionAuditSheet(Wb, Policy, RowIndex - 2);
    SaveAsEncryptedWorkbook(Wb, OutputFile, Password, Policy);
    VerifyEncryptedWorkbookCanOpen(OutputFile, Password);
    RegisterSecureDelivery(OutputFile, Policy);
  finally
    Wb.Free;
  end;
end;

Liste de mise en production

  • Run the workflow on an empty workbook, a normal customer workbook, and a worst-case workbook
  • Open the output with the target spreadsheet application or downstream importer
  • Log product version, template version, profile, row count, output path, elapsed time, and warning count
  • Keep passwords, temporary files, customer data, and support bundles under explicit retention rules
  • Add regression workbooks when a customer file exposes a new edge case

Product documentation

HotXLS Component