가변 인수로 조항에서 SQL을 안전하게 매개 변수화하는 방법은 무엇입니까?-MySQL 튜토리얼-php.cn

가변 인수로 조항에서 SQL을 안전하게 매개 변수화하는 방법은 무엇입니까?

Susan Sarandon

풀어 주다： 2025-01-25 16:27:09

원래의

719명이 탐색했습니다.

How to Securely Parameterize SQL IN Clauses with Variable Arguments?

가변 매개변수를 사용하여 매개변수화된 SQL IN 절

가변 개수의 매개변수를 허용하는 IN 절을 사용하여 SQL 쿼리를 작성할 때 데이터 보안을 유지하고 삽입 취약점을 방지하는 것이 중요합니다. 이를 수행하는 효율적인 방법은 매개변수화를 이용하는 것입니다.

매개변수화된 IN 절

주어진 쿼리를 매개변수화하기 위해 각 매개변수에 고유한 매개변수 이름을 할당할 수 있습니다.

<code class="language-sql">SELECT * FROM Tags 
WHERE Name IN (@tag0, @tag1, @tag2, @tag3)
ORDER BY Count DESC</code>

로그인 후 복사

루프를 사용하면 IN 절을 동적으로 생성하고 지정된 값으로 해당 매개변수를 추가할 수 있습니다.

<code class="language-csharp">string[] tags = new string[] { "ruby", "rails", "scruffy", "rubyonrails" };
string cmdText = "SELECT * FROM Tags WHERE Name IN ({0})";
string[] paramNames = tags.Select((s, i) => "@tag" + i.ToString()).ToArray();

string inClause = string.Join(", ", paramNames);
using (SqlCommand cmd = new SqlCommand(string.Format(cmdText, inClause)))
{
    for (int i = 0; i < tags.Length; i++)
    {
        cmd.Parameters.AddWithValue(paramNames[i], tags[i]);
    }
    // ... 执行查询 ...
}</code>

로그인 후 복사

이 접근 방식은 사용자 입력이 SQL 문에 직접 삽입되지 않도록 하여 삽입 위험을 줄입니다.

이 수정된 답변은 원본 이미지와 형식을 유지하면서 명확성과 흐름을 높이기 위해 텍스트를 변경했습니다. 주요 변경 사항은 코드 주변의 설명 텍스트에 있으므로 코드 예제는 변경되지 않습니다.

위 내용은 가변 인수로 조항에서 SQL을 안전하게 매개 변수화하는 방법은 무엇입니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!