Gérez en toute sécurité les noms de tables dynamiques : résolvez les problèmes de requêtes SQL dynamiques
Dans le développement Web, il est courant de personnaliser les requêtes SQL en fonction des valeurs fournies par l'utilisateur. Cependant, la modification manuelle des instructions SQL peut entraîner des failles de sécurité telles que l'injection SQL. Le problème que vous rencontrez consiste à sélectionner des tables avec des noms différents en fonction de la saisie de l'utilisateur.
Procédures stockées utilisant du SQL dynamique
Pour résoudre ce problème, pensez à utiliser des procédures stockées paramétrées avec du SQL dynamique. Au lieu de remplacer directement le nom de la table fourni par l'utilisateur dans la requête, utilisez-le pour rechercher la table réelle à interroger. Cela garantit la sécurité des requêtes.
Par exemple, créez une procédure stockée comme celle-ci :
<code class="language-sql">CREATE PROC spCountAnyTableRows( @PassedTableName as NVarchar(255) ) AS
-- 安全地计算任何非系统表的行数
BEGIN
DECLARE @ActualTableName AS NVarchar(255)
SELECT @ActualTableName = QUOTENAME( TABLE_NAME )
FROM INFORMATION_SCHEMA.TABLES
WHERE TABLE_NAME = @PassedTableName
DECLARE @sql AS NVARCHAR(MAX)
SELECT @sql = 'SELECT COUNT(*) FROM ' + @ActualTableName + ';'
EXEC(@SQL)
END</code>Ce processus obtient le paramètre @PassedTableName de l'utilisateur, utilise INFORMATION_SCHEMA.TABLES pour trouver le nom réel de la table et crée une requête SQL sécurisée qui peut être exécutée à l'aide d'EXEC (@SQL).
Sécurité et protection
Il est important de noter que cette méthode est plus sûre que l'exécution directe des instructions SQL fournies par l'utilisateur. La recherche INFORMATION_SCHEMA.TABLES empêche les utilisateurs d'accéder à des tables non autorisées ou d'injecter du code malveillant.
Méthodes alternatives
Vous pouvez également envisager de restructurer le schéma de votre base de données pour utiliser une seule table avec une colonne TableName pour différencier les différentes tables. Cette approche élimine le besoin de SQL dynamique. Toutefois, cela n’est peut-être pas réalisable dans tous les cas.
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!
Comment désactiver les mises à jour automatiques dans Win10
Utilisation de l'image d'arrière-plan
heure du système Linux
js actualiser la page actuelle
Comment revenir à la page d'accueil à partir d'une sous-page HTML
Utilisation régulière de grep
Supprimer la ligne d'en-tête
Vérifiez si le port est ouvert sous Linux
![[Web front-end] Démarrage rapide de Node.js](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
