저장 프로시저가 SQL 쿼리의 동적 테이블 이름을 어떻게 안전하게 처리할 수 있습니까?

동적 테이블 이름을 안전하게 처리: 동적 SQL 쿼리 문제 해결

웹 개발에서는 사용자가 제공한 값을 기반으로 SQL 쿼리를 사용자 정의하는 것이 일반적인 관행입니다. 그러나 SQL 문을 수동으로 수정하면 SQL 주입과 같은 보안 취약점이 발생할 수 있습니다. 발생한 문제는 사용자 입력에 따라 다른 이름을 가진 테이블을 선택하는 것과 관련됩니다.

동적 SQL을 사용한 저장 프로시저

이 문제를 해결하려면 동적 SQL과 함께 매개변수화된 저장 프로시저를 사용하는 것이 좋습니다. 사용자가 제공한 테이블 이름을 쿼리로 직접 바꾸는 대신 이를 사용하여 쿼리할 실제 테이블을 찾습니다. 이는 쿼리 보안을 보장합니다.

예를 들어 다음과 같은 저장 프로시저를 만듭니다.

<code class="language-sql">CREATE PROC spCountAnyTableRows( @PassedTableName as NVarchar(255) ) AS
-- 安全地计算任何非系统表的行数
BEGIN
    DECLARE @ActualTableName AS NVarchar(255)

    SELECT @ActualTableName = QUOTENAME( TABLE_NAME )
    FROM INFORMATION_SCHEMA.TABLES
    WHERE TABLE_NAME = @PassedTableName

    DECLARE @sql AS NVARCHAR(MAX)
    SELECT @sql = 'SELECT COUNT(*) FROM ' + @ActualTableName + ';'

    EXEC(@SQL)
END</code>

이 프로세스는 사용자로부터 @PassedTableName 매개변수를 가져오고, INFORMATION_SCHEMA.TABLES를 사용하여 실제 테이블 이름을 찾고, EXEC(@SQL)를 사용하여 실행할 수 있는 안전한 SQL 쿼리를 구축합니다.

안전 및 보호

이 방법은 사용자가 제공한 SQL 문을 직접 실행하는 것보다 안전하다는 점에 유의하는 것이 중요합니다. INFORMATION_SCHEMA.TABLES 조회는 사용자가 승인되지 않은 테이블에 액세스하거나 악성 코드를 삽입하는 것을 방지합니다.

대체 방법

또는 서로 다른 테이블을 구별하기 위해 TableName 열이 있는 단일 테이블을 사용하도록 데이터베이스 스키마를 재구성하는 것을 고려할 수도 있습니다. 이 접근 방식을 사용하면 동적 SQL이 필요하지 않습니다. 그러나 이는 모든 경우에 실현 가능한 것은 아닙니다.

위 내용은 저장 프로시저가 SQL 쿼리의 동적 테이블 이름을 어떻게 안전하게 처리할 수 있습니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!