SQL 주입을 방지하기 위해 테이블 ​​이름을 저장 프로시저에 안전하게 전달하려면 어떻게 해야 합니까?

저장 프로시저에 테이블 이름 전달

데이터베이스 프로그래밍에서는 사용자 입력을 기반으로 특정 테이블을 참조하는 쿼리를 작성해야 하는 경우가 많습니다. 기존 접근 방식에는 클라이언트 애플리케이션에서 SQL 문을 동적으로 구성하는 작업이 포함되는데, 이는 보안 문제를 야기하며 일반적으로 나쁜 관행으로 간주됩니다.

대신에 테이블 이름을 매개변수로 저장 프로시저에 전달하는 것이 더 깨끗하고 안전한 솔루션입니다. 그러나 사용자 입력에 따라 대상 테이블이 변경되면 문제가 발생합니다.

도전:

어떤 경우에는 사용자 입력에 따라 대상 테이블이 선택됩니다. 예를 들어 입력 값이 "FOO", "BAR"인 경우 쿼리는 "SELECT * FROM FOO_BAR"가 될 수 있습니다. SQL 삽입을 방지하고 전달된 문자열을 동적 SQL 실행에 사용하기 위해 이러한 쿼리를 어떻게 매개변수화할 수 있습니까?

해결책:

권장되는 접근 방식은 매개변수화된 저장 프로시저와 동적 SQL을 조합하여 사용하는 것입니다.

1. 매개변수가 있는 저장 프로시저 만들기:

   • 테이블 이름 매개변수를 허용하는 저장 프로시저를 만듭니다.
   • 진행 중에 전달된 테이블 이름을 사용하여 쿼리를 동적으로 생성합니다.
   • 화이트리스트에 대해 전달된 테이블 이름의 유효성을 검사하거나 조회를 사용하여 악의적인 입력을 방지하세요.

2. 프로세스 중 동적 SQL 생성:

   • 저장 프로시저에서 전달된 테이블 이름을 사용하여 SQL 문을 결합합니다.
   • 동적 SQL을 실행하려면 EXECUTE SQL 문을 사용하세요.

저장 프로시저의 예:

<code class="language-sql">CREATE PROC spCountAnyTableRows(
    @PassedTableName AS NVARCHAR(255)
) AS
BEGIN
    DECLARE @ActualTableName AS NVARCHAR(255)

    SELECT @ActualTableName = QUOTENAME(TABLE_NAME)
    FROM INFORMATION_SCHEMA.TABLES
    WHERE TABLE_NAME = @PassedTableName

    DECLARE @sql AS NVARCHAR(MAX)
    SET @sql = 'SELECT COUNT(*) FROM ' + @ActualTableName + ';'

    EXEC sp_executesql @sql
END</code>

장점:

• 보안: 이 접근 방식은 동적 SQL 실행에 전달된 문자열의 사용을 방지하여 SQL 삽입 공격을 방지합니다.
• 명확성: 매개변수화된 쿼리를 사용하면 코드를 체계적으로 정리하고 유지 관리하기 쉽게 할 수 있습니다.
• 효율성: 저장 프로시저를 캐시하고 재사용할 수 있어 동적 SQL에 비해 성능이 향상됩니다.

기타 참고 사항:

• 예제에서는 QUOTENAME을 사용하여 전달된 테이블 이름의 특수 문자가 올바르게 이스케이프되었는지 확인합니다.
• 입력된 테이블 이름의 유효성을 검사하려면 조회 변환에 INFORMATION_SCHEMA를 사용하세요.
• 필요한 경우 SQL 매개변수를 사용하여 열 이름을 동적으로 전달할 수도 있습니다.

이 수정된 출력은 원래 언어를 유지하고, 의미 변경을 방지하고, 이미지를 원래 형식과 위치로 유지하며, 일반적으로 sp_executesql를 사용하여 SQL 예제가 약간 개선되었습니다. 더 나은 보안과 매개변수 처리를 위해 선호됩니다.

위 내용은 SQL 주입을 방지하기 위해 테이블 ​​이름을 저장 프로시저에 안전하게 전달하려면 어떻게 해야 합니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!