Définir dynamiquement le nom de la table dans la requête SQL
Cet article explique comment définir de manière sûre et dynamique des noms de table dans les requêtes SQL, en particulier lors de l'utilisation de valeurs de paramètres. Bien que les valeurs des paramètres dynamiques aient été implémentées avec succès, les noms de tables dynamiques posent des défis différents.
Méthode utilisant les fonctions OBJECT_ID et QUOTENAME
Pour éviter l'injection SQL et garantir l'intégrité des requêtes, il est recommandé d'utiliser des fonctions au lieu de la concaténation directe de chaînes. Un moyen efficace consiste à utiliser les fonctions OBJECT_ID et QUOTENAME :
DECLARE @TableName NVARCHAR(255);
SET @TableName = '<[数据库名称].><[模式名称].>[表名称]';
-- 检查表是否存在以防止注入
DECLARE @TableID INT;
SET @TableID = OBJECT_ID(@TableName);
IF @TableID IS NULL
RETURN '未找到表';
-- 使用QUOTENAME构建查询字符串以转义特殊字符
SET @SQLQuery = 'SELECT * FROM ' + QUOTENAME(OBJECT_NAME(@TableID)) + ' WHERE EmployeeID = @EmpID';Cette approche garantit que les noms de table sont correctement échappés et empêche les entrées potentiellement malveillantes. La fonction QUOTENAME ajoute des crochets autour des caractères spéciaux ou des mots réservés dans le nom de la table, empêchant ainsi les attaques potentielles par injection SQL.
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!
A quoi sert Java
Comment restaurer le navigateur IE pour accéder automatiquement à EDGE
Quels sont les frameworks Spring ?
Site officiel d'OKEX
Avantages du système de contrôle PLC
La différence et le lien entre le langage C et C++
Introduction au contenu principal du travail des ingénieurs front-end
Comment éteindre votre ordinateur rapidement
Quelles sont les propriétés du dégradé CSS3 ?
![[Web front-end] Démarrage rapide de Node.js](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
