Pertanyaan SQL dinamik: gunakan parameter untuk menetapkan nama jadual
Apabila memproses pertanyaan SQL dinamik, biasanya perlu menetapkan nama jadual secara dinamik berdasarkan parameter input. Walaupun menetapkan parameter seperti ID adalah mudah, menetapkan nama jadual boleh menimbulkan cabaran.
Percubaan yang gagal:
Pendekatan awal yang ditunjukkan dalam kod yang disediakan adalah untuk menetapkan nama jadual terus dalam rentetan pertanyaan SQL. Walau bagaimanapun, pendekatan ini terdedah kepada serangan suntikan SQL.
Penyelesaian menggunakan fungsi OBJECT_ID:
Untuk memastikan keselamatan dan mengelakkan suntikan SQL berniat jahat, adalah disyorkan untuk menggunakan fungsi OBJECT_ID untuk menghuraikan ID objek nama jadual secara dinamik. Dengan berbuat demikian, nama jadual yang cacat atau disuntik tidak akan menyelesaikannya, sekali gus menghalang kelemahan keselamatan.
Berikut ialah kod yang dikemas kini:
... SET @TableName = '<[db].><[schema].>tblEmployees' SET @TableID = OBJECT_ID(@TableName) --如果格式错误/注入,则不会解析。 ... SET @SQLQuery = 'SELECT * FROM ' + QUOTENAME(OBJECT_NAME(@TableID)) + ' WHERE EmployeeID = @EmpID'
Atas ialah kandungan terperinci Bagaimanakah Saya Boleh Menetapkan Nama Jadual dengan Selamat dalam Pertanyaan SQL Dinamik Menggunakan Parameter?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!
Apa yang perlu dilakukan jika sambungan win8wifi tidak tersedia
Apakah format fail csv?
tutorial css3
Bagaimana untuk menyelesaikan status http 404
Bagaimana untuk melangkau sambungan ke Internet selepas boot Windows 11
Apakah maksud menyekat semua kuki?
tekan sebarang kekunci untuk memulakan semula
ORACLEDISTINCT
![[Web front-end] Permulaan pantas Node.js](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
