SQL의 테이블 이름에 대해 준비된 문을 사용할 수 없는 이유는 무엇입니까?

SQL 준비 문 및 테이블 이름: 일반적인 함정

SQL 주입 취약점을 방지하는 안전한 SQL 쿼리를 위해서는 준비된 명령문이 중요합니다. 그러나 준비된 문 내에서 테이블 이름을 매개 변수화할 수 있다는 오해가 자주 발생합니다. 이는 잘못된 내용입니다.

다음 예에서는 문제를 보여줍니다. 매개변수(query1)와 [?] 같은 변수를 사용하여 테이블 이름(예: reportDate)을 동적으로 지정하기 위해 준비된 문을 사용하려고 하면 실패합니다. "테이블 이름이 필요한 곳에 'Pa_RaM000' 매개변수가 지정되었습니다." 오류는 이러한 제한 사항을 강조합니다.

해결책: 준비된 진술 외부의 동적 구성

핵심 문제는 SQL 파서가 테이블 이름을 다른 쿼리 매개변수와 다르게 처리한다는 것입니다. 준비된 명령문 자리 표시자를 통해 동적으로 삽입할 수 없습니다.

올바른 접근 방식은 준비된 문을 사용하기 전에 테이블 이름을 동적으로 구성하는 것입니다. 이는 날짜 부분(예: reportDate)을 포함하는 변수를 테이블 이름의 고정 부분(

)과 연결하여 수행됩니다.

<code class="language-sql">private String query1 = "SELECT plantID, edrman, plant, vaxnode FROM [" + reportDate + ".?]";</code>

여기서 reportDate는 테이블 이름의 날짜 관련 부분을 정적 부분과 결합하여 제공합니다. SELECT 문 내의 나머지 매개변수는 준비된 문 자체 내에서 안전하게 매개변수화될 수 있습니다.

이 방법을 사용하면 데이터 값에 대해 준비된 문의 보안 이점을 유지하면서 동적 쿼리 생성이 가능합니다.

위 내용은 SQL의 테이블 이름에 대해 준비된 문을 사용할 수 없는 이유는 무엇입니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!