T-SQL에서 동적 SQL 쿼리를 안전하게 매개 변수화하는 방법은 무엇입니까?

T-SQL에서 동적 SQL 쿼리 매개변수화

동적 SQL 쿼리에서 매개변수는 SQL 삽입 공격을 방지하고 유형 안전성을 보장하는 데 매우 중요합니다. T-SQL 동적 SQL에서 매개변수로 작업할 때 매개변수를 sp_executesql 저장 프로시저에 올바르게 전달하는 것이 중요합니다.

문제:

다음 동적 쿼리를 고려하세요. WHERE 절에 대한 UNIQUEIDENTIFIER 매개변수:

CREATE PROCEDURE [dbo].[sp_Test1] /* 'b0da56dc-fc73-4c0e-85f7-541e3e8f249d' */
(
@p_CreatedBy UNIQUEIDENTIFIER
)
AS
DECLARE @sql NVARCHAR(4000)
SET @sql ='

DECLARE @p_CreatedBY UNIQUEIDENTIFIER

SELECT 
  DateTime,
  Subject,
  CreatedBy
FROM
(
  SELECT 
    DateTime, Subject, CreatedBy, 
    ROW_NUMBER() OVER(ORDER BY DateTime ) AS Indexing
  FROM
    ComposeMail
  WHERE 
    CreatedBy = @p_CreatedBy /* <--- the problem is in this condition */
) AS NewDataTable
'

EXEC sp_executesql @sql

이 쿼리가 다음과 같은 경우 매개변수를 전달하지 않고 실행하면 결과가 반환되지 않습니다.

해결책:

이 문제를 해결하려면 매개변수를 sp_executesql에 전달해야 합니다. 다음과 같이 WHERE 절을 수정합니다.

WHERE 
    CreatedBy = @p

@p 매개변수 이름을 사용하여 매개변수를 전달합니다.

EXECUTE sp_executesql @sql, N'@p UNIQUEIDENTIFIER', @p = @p_CreatedBY

이렇게 하면 WHERE 절 조건이 호출자의 매개변수화된 값을 사용하게 됩니다. , SQL 주입을 방지하고 유형 안전성을 보장합니다.

위 내용은 T-SQL에서 동적 SQL 쿼리를 안전하게 매개 변수화하는 방법은 무엇입니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!