Bagaimana untuk Selamat Parameter Pertanyaan SQL Dinamik dalam T-SQL?

Meparametrisasi Pertanyaan SQL Dinamik dalam T-SQL

Dalam pertanyaan SQL dinamik, parameter adalah penting untuk mencegah serangan suntikan SQL dan memastikan keselamatan jenis. Apabila bekerja dengan parameter dalam SQL dinamik T-SQL, adalah penting untuk menghantarnya dengan betul kepada prosedur tersimpan sp_executesql.

Masalah:

Pertimbangkan pertanyaan dinamik berikut yang menjangkakan parameter UNIQUEIDENTIFIER untuk WHERE klausa:

CREATE PROCEDURE [dbo].[sp_Test1] /* 'b0da56dc-fc73-4c0e-85f7-541e3e8f249d' */
(
@p_CreatedBy UNIQUEIDENTIFIER
)
AS
DECLARE @sql NVARCHAR(4000)
SET @sql ='

DECLARE @p_CreatedBY UNIQUEIDENTIFIER

SELECT 
  DateTime,
  Subject,
  CreatedBy
FROM
(
  SELECT 
    DateTime, Subject, CreatedBy, 
    ROW_NUMBER() OVER(ORDER BY DateTime ) AS Indexing
  FROM
    ComposeMail
  WHERE 
    CreatedBy = @p_CreatedBy /* <--- the problem is in this condition */
) AS NewDataTable
'

EXEC sp_executesql @sql

Apabila pertanyaan ini dilaksanakan tanpa melepasi parameter, tiada keputusan dikembalikan.

Penyelesaian:

Untuk menyelesaikan isu ini , parameter mesti dihantar ke sp_executesql. Ubah suai klausa WHERE seperti berikut:

WHERE 
    CreatedBy = @p

Dan lulus parameter menggunakan nama parameter @p:

EXECUTE sp_executesql @sql, N'@p UNIQUEIDENTIFIER', @p = @p_CreatedBY

Ini memastikan keadaan klausa WHERE menggunakan nilai parameter daripada pemanggil , menghalang suntikan SQL dan memastikan keselamatan jenis.

Atas ialah kandungan terperinci Bagaimana untuk Selamat Parameter Pertanyaan SQL Dinamik dalam T-SQL?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!