Meparametrisasi Pertanyaan SQL Dinamik dalam T-SQL
Dalam pertanyaan SQL dinamik, parameter adalah penting untuk mencegah serangan suntikan SQL dan memastikan keselamatan jenis. Apabila bekerja dengan parameter dalam SQL dinamik T-SQL, adalah penting untuk menghantarnya dengan betul kepada prosedur tersimpan sp_executesql.
Masalah:
Pertimbangkan pertanyaan dinamik berikut yang menjangkakan parameter UNIQUEIDENTIFIER untuk WHERE klausa:
CREATE PROCEDURE [dbo].[sp_Test1] /* 'b0da56dc-fc73-4c0e-85f7-541e3e8f249d' */
(
@p_CreatedBy UNIQUEIDENTIFIER
)
AS
DECLARE @sql NVARCHAR(4000)
SET @sql ='
DECLARE @p_CreatedBY UNIQUEIDENTIFIER
SELECT
DateTime,
Subject,
CreatedBy
FROM
(
SELECT
DateTime, Subject, CreatedBy,
ROW_NUMBER() OVER(ORDER BY DateTime ) AS Indexing
FROM
ComposeMail
WHERE
CreatedBy = @p_CreatedBy /* <--- the problem is in this condition */
) AS NewDataTable
'
EXEC sp_executesql @sqlApabila pertanyaan ini dilaksanakan tanpa melepasi parameter, tiada keputusan dikembalikan.
Penyelesaian:
Untuk menyelesaikan isu ini , parameter mesti dihantar ke sp_executesql. Ubah suai klausa WHERE seperti berikut:
WHERE
CreatedBy = @pDan lulus parameter menggunakan nama parameter @p:
EXECUTE sp_executesql @sql, N'@p UNIQUEIDENTIFIER', @p = @p_CreatedBY
Ini memastikan keadaan klausa WHERE menggunakan nilai parameter daripada pemanggil , menghalang suntikan SQL dan memastikan keselamatan jenis.
Atas ialah kandungan terperinci Bagaimana untuk Selamat Parameter Pertanyaan SQL Dinamik dalam T-SQL?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!
Tukar teks kepada nilai angka
Bagaimana untuk menyelesaikan ralat permintaan http 415
Bagaimana untuk menerangi Douyin kawan rapat
Apakah kegunaan imej buruh pelabuhan?
Apakah perbezaan antara ruang lebar penuh dan ruang separuh lebar?
http 400 Permintaan Buruk
Urutan keutamaan pengendali dalam bahasa c
Tutorial penggunaan Kindeditor
![[Web front-end] Permulaan pantas Node.js](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
