動的 SQL クエリ: パラメーターを使用してテーブル名を設定します
動的 SQL クエリを処理するときは、通常、入力パラメーターに基づいてテーブル名を動的に設定する必要があります。 ID などのパラメータの設定は簡単ですが、テーブル名の設定には課題が伴う場合があります。
失敗した試行:
提供されたコードで示されている最初のアプローチは、SQL クエリ文字列にテーブル名を直接設定することです。ただし、このアプローチは SQL インジェクション攻撃に対して脆弱です。
OBJECT_ID 関数を使用した解決策:
セキュリティを確保し、悪意のある SQL インジェクションを回避するには、OBJECT_ID 関数を使用してテーブル名のオブジェクト ID を動的に解析することをお勧めします。そうすることで、不正な形式または挿入されたテーブル名が解決されなくなり、セキュリティの脆弱性が防止されます。
更新されたコードは次のとおりです:
<code class="language-sql">... SET @TableName = '<[db].><[schema].>tblEmployees' SET @TableID = OBJECT_ID(@TableName) --如果格式错误/注入,则不会解析。 ... SET @SQLQuery = 'SELECT * FROM ' + QUOTENAME(OBJECT_NAME(@TableID)) + ' WHERE EmployeeID = @EmpID'</code>
以上がパラメータを使用して動的 SQL クエリでテーブル名を安全に設定するにはどうすればよいですか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。