Bagaimanakah Saya Boleh Menetapkan Nama Jadual dengan Selamat dalam Pertanyaan SQL Dinamik Menggunakan Parameter?

Pertanyaan SQL dinamik: gunakan parameter untuk menetapkan nama jadual

Apabila memproses pertanyaan SQL dinamik, biasanya perlu menetapkan nama jadual secara dinamik berdasarkan parameter input. Walaupun menetapkan parameter seperti ID adalah mudah, menetapkan nama jadual boleh menimbulkan cabaran.

Percubaan yang gagal:

Pendekatan awal yang ditunjukkan dalam kod yang disediakan adalah untuk menetapkan nama jadual terus dalam rentetan pertanyaan SQL. Walau bagaimanapun, pendekatan ini terdedah kepada serangan suntikan SQL.

Penyelesaian menggunakan fungsi OBJECT_ID:

Untuk memastikan keselamatan dan mengelakkan suntikan SQL berniat jahat, adalah disyorkan untuk menggunakan fungsi OBJECT_ID untuk menghuraikan ID objek nama jadual secara dinamik. Dengan berbuat demikian, nama jadual yang cacat atau disuntik tidak akan menyelesaikannya, sekali gus menghalang kelemahan keselamatan.

Berikut ialah kod yang dikemas kini:

...
SET @TableName = '<[db].><[schema].>tblEmployees'
SET @TableID = OBJECT_ID(@TableName) --如果格式错误/注入，则不会解析。
...
SET @SQLQuery = 'SELECT * FROM ' + QUOTENAME(OBJECT_NAME(@TableID)) + ' WHERE EmployeeID = @EmpID'

Atas ialah kandungan terperinci Bagaimanakah Saya Boleh Menetapkan Nama Jadual dengan Selamat dalam Pertanyaan SQL Dinamik Menggunakan Parameter?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!