將資料表名稱安全地傳遞給 SQL Server 預存程序
將表名動態傳遞給預存程序可以增強資料庫的彈性。 然而,安全必須是最重要的。 本指南詳細介紹了 SQL Server 中此常見任務的最佳實務。
防止 SQL 注入:
直接將使用者輸入連接到 SQL 查詢中是一個主要漏洞。 這為 SQL 注入攻擊打開了大門。
採用參數化:
參數化查詢是安全參數傳遞的基石。使用佔位符(例如 ?)可以防止惡意輸入被解釋為 SQL 程式碼。 資料庫系統處理正確的轉義。
動態表名稱解析:
動態 SQL 與適當的驗證結合,可以安全地檢索表名。 這是一個例子:
<code class="language-sql">CREATE PROC spCountAnyTableRows (@PassedTableName VARCHAR(255))
AS
BEGIN
DECLARE @ActualTableName VARCHAR(255);
SELECT @ActualTableName = QUOTENAME(TABLE_NAME)
FROM INFORMATION_SCHEMA.TABLES
WHERE TABLE_NAME = @PassedTableName;
DECLARE @SQL NVARCHAR(MAX);
SET @SQL = N'SELECT COUNT(*) FROM ' + @ActualTableName + N';';
EXEC sp_executesql @SQL;
END;</code>這種方法會在建置和執行查詢之前驗證表名是否存在,從而最大限度地降低注入風險。
主要考慮因素:
QUOTENAME 對於轉義特殊字元至關重要,但它本身並不是一個完整的安全解決方案。 始終將其與表存在性檢查結合。 以上是如何安全地將表名作為參數傳遞給 SQL Server 預存程序?的詳細內容。更多資訊請關注PHP中文網其他相關文章!
