SQL 쿼리 내에서 테이블 이름을 동적으로 지정하는 것은 가능하지만 SQL 삽입 취약점에 대한 강력한 보호 장치가 필요합니다. 권장되는 접근 방식은 기본 제공 SQL Server 기능을 활용합니다.
테이블 이름을 저장할 변수 선언:
<code class="language-sql"> DECLARE @TableName NVARCHAR(100);</code>
변수에 테이블 이름 지정:
<code class="language-sql"> SET @TableName = '<[db].><[schema].>tblEmployees';</code>
테이블의 개체 ID 검색:
<code class="language-sql"> SET @TableID = OBJECT_ID(@TableName);</code>
안전을 위해 개체 ID를 사용하여 SQL 쿼리를 구성하세요.
<code class="language-sql"> SET @SQLQuery = 'SELECT * FROM ' + QUOTENAME(OBJECT_NAME(@TableID)) + ' WHERE EmployeeID = @EmpID';</code>
sp_executesql:
<code class="language-sql"> EXECUTE sp_executesql @SQLQuery, @ParameterDefinition, @EmpID;</code>
이 방법을 사용하면 테이블 이름이 안전하게 처리되어 SQL 문에 통합되기 전에 OBJECT_ID 및 QUOTENAME을 사용하여 입력을 삭제함으로써 SQL 삽입 공격을 방지할 수 있습니다. 매개변수화된 쿼리와 함께 sp_executesql을 사용하면 보안이 더욱 강화됩니다.
위 내용은 SQL 쿼리에서 테이블 이름을 동적으로 안전하게 설정하려면 어떻게 해야 합니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!
![[웹 프런트엔드] Node.js 빠른 시작](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
