パラメータを使用して動的 SQL クエリでテーブル名を安全に設定するにはどうすればよいですか?-mysql チュートリアル-php.cn

ホームページ

データベース

mysql チュートリアル

パラメータを使用して動的 SQL クエリでテーブル名を安全に設定するにはどうすればよいですか?

Susan Sarandon

Jan 11, 2025 pm 05:31 PM

How Can I Securely Set Table Names in Dynamic SQL Queries Using Parameters?

動的 SQL クエリ: パラメーターを使用してテーブル名を設定します

動的 SQL クエリを処理するときは、通常、入力パラメーターに基づいてテーブル名を動的に設定する必要があります。 ID などのパラメータの設定は簡単ですが、テーブル名の設定には課題が伴う場合があります。

失敗した試行:

提供されたコードで示されている最初のアプローチは、SQL クエリ文字列にテーブル名を直接設定することです。ただし、このアプローチは SQL インジェクション攻撃に対して脆弱です。

OBJECT_ID 関数を使用した解決策:

セキュリティを確保し、悪意のある SQL インジェクションを回避するには、OBJECT_ID 関数を使用してテーブル名のオブジェクト ID を動的に解析することをお勧めします。そうすることで、不正な形式または挿入されたテーブル名が解決されなくなり、セキュリティの脆弱性が防止されます。

更新されたコードは次のとおりです:

...
SET @TableName = '<[db].><[schema].>tblEmployees'
SET @TableID = OBJECT_ID(@TableName) --如果格式错误/注入，则不会解析。
...
SET @SQLQuery = 'SELECT * FROM ' + QUOTENAME(OBJECT_NAME(@TableID)) + ' WHERE EmployeeID = @EmpID'

以上がパラメータを使用して動的 SQL クエリでテーブル名を安全に設定するにはどうすればよいですか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。

声明

この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。

DockerでのMySQLメモリの使用を減らしますMar 04, 2025 pm 03:52 PM

この記事では、DockerのMySQLメモリ使用量を最適化することを調査します。監視手法（Docker統計、パフォーマンススキーマ、外部ツール）および構成戦略について説明します。これらには、Dockerメモリの制限、スワッピング、およびcgroupsが含まれます

mysqlの問題を解決する方法共有ライブラリを開くことができませんMar 04, 2025 pm 04:01 PM

この記事では、MySQLの「共有ライブラリを開くことができない」エラーについて説明します。この問題は、必要な共有ライブラリ（.so/.dllファイル）を見つけることができないMySQLの障害に起因しています。ソリューションには、システムのパッケージMを介してライブラリのインストールを確認することが含まれます。