매개변수를 사용하여 동적 SQL 쿼리에서 테이블 이름을 안전하게 설정하려면 어떻게 해야 합니까?

동적 SQL 쿼리: 매개변수를 사용하여 테이블 이름 설정

동적 SQL 쿼리를 처리할 때 일반적으로 입력 매개변수에 따라 테이블 이름을 동적으로 설정해야 합니다. ID와 같은 매개변수 설정은 간단하지만 테이블 이름 설정은 어려울 수 있습니다.

실패한 시도:

제공된 코드에 설명된 초기 접근 방식은 SQL 쿼리 문자열에 테이블 이름을 직접 설정하는 것입니다. 그러나 이 접근 방식은 SQL 주입 공격에 취약합니다.

OBJECT_ID 함수를 사용한 솔루션:

보안을 보장하고 악의적인 SQL 주입을 방지하려면 OBJECT_ID 함수를 사용하여 테이블 이름의 개체 ID를 동적으로 구문 분석하는 것이 좋습니다. 이렇게 하면 형식이 잘못되었거나 삽입된 테이블 이름이 확인되지 않으므로 보안 취약점이 방지됩니다.

업데이트된 코드는 다음과 같습니다.

<code class="language-sql">...
SET @TableName = '<[db].><[schema].>tblEmployees'
SET @TableID = OBJECT_ID(@TableName) --如果格式错误/注入，则不会解析。
...
SET @SQLQuery = 'SELECT * FROM ' + QUOTENAME(OBJECT_NAME(@TableID)) + ' WHERE EmployeeID = @EmpID'</code>

위 내용은 매개변수를 사용하여 동적 SQL 쿼리에서 테이블 이름을 안전하게 설정하려면 어떻게 해야 합니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!