SQL インジェクションを防ぐために動的 SQL クエリでテーブル名を動的に設定するにはどうすればよいですか?

動的 SQL クエリ: テーブル名を設定

動的 SQL クエリでは、特定のメソッドを使用してパラメータを動的に提供し、テーブル名を設定できます。パラメーターは正常に設定されましたが、テーブル名を動的に設定する方法についてのガイダンスが必要になります。

テーブル名を動的に設定します

SQL インジェクションの脆弱性を防ぐために、可能な限り関数を使用することをお勧めします。この場合、いくつかの手法を組み合わせてテーブル名を動的に設定できます。

<code class="language-sql">SET @TableName = '<[db].><[schema].>tblEmployees'
SET @TableID = OBJECT_ID(@TableName) --如果格式错误/注入，则无法解析。
SET @SQLQuery = 'SELECT * FROM ' + QUOTENAME(OBJECT_NAME(@TableID)) + ' WHERE EmployeeID = @EmpID'</code>

このスクリプトはテーブル名をパラメータとして初期化し、基になるオブジェクト ID を取得して、指定された名前が有効であることを確認します。指定されたテーブル名の形式が間違っているか、SQL の脆弱性として挿入されている場合、オブジェクト ID は解決されません。

最後に、潜在的な SQL インジェクション攻撃を回避するためにテーブル名への参照を作成し、指定された従業員 ID パラメーターを追加して動的 SQL クエリを完成させます。

以上がSQL インジェクションを防ぐために動的 SQL クエリでテーブル名を動的に設定するにはどうすればよいですか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。