cari
Rumahpangkalan datatutorial mysqlBagaimanakah Saya Boleh Menyalurkan Nama Jadual dengan Selamat kepada Prosedur Tersimpan?
Bagaimanakah Saya Boleh Menyalurkan Nama Jadual dengan Selamat kepada Prosedur Tersimpan?
Barbara Streisand
Barbara Streisand
Jan 15, 2025 am 07:31 AM

How Can I Safely Pass a Table Name to a Stored Procedure?

Menghantar nama jadual dengan selamat ke prosedur tersimpan: mencapai keseimbangan antara dinamisme dan keselamatan

Dalam bidang pengaturcaraan pangkalan data, keupayaan untuk menghantar nama jadual sebagai parameter kepada prosedur yang disimpan adalah penting untuk mencapai operasi data yang dinamik dan fleksibel. Walau bagaimanapun, tugas ini boleh mempunyai implikasi keselamatan, kerana kod yang dilaksanakan dengan buruk boleh membawa kepada serangan suntikan SQL. Artikel ini meneroka cara yang elegan dan selamat untuk menyelesaikan masalah ini.

Kesukaran: Mencampur Kod dan Pengubahsuaian SQL

Amalan biasa ialah mengubah suai kod dalam pernyataan SQL yang besar berdasarkan input pengguna. Pendekatan ini bermasalah kerana ia membenarkan data yang dibekalkan pengguna mempengaruhi secara langsung pertanyaan SQL, mewujudkan potensi kelemahan untuk suntikan SQL.

Cara yang lebih selamat: prosedur disimpan berparameter

Alternatif yang lebih selamat dan cekap ialah menggunakan prosedur tersimpan berparameter. Prosedur tersimpan ialah objek pangkalan data yang telah dikompilasi yang menerima parameter, membolehkan anda menghantar input pengguna sebagai parameter tanpa mengubah SQL itu sendiri. Ini menghapuskan risiko suntikan SQL sambil memberikan fleksibiliti yang diperlukan.

Cabaran: Tentukan nama jadual secara dinamik

Walau bagaimanapun, cabaran timbul apabila jadual yang akan dipilih bergantung pada input pengguna. Contohnya, jika dua parameter ialah "FOO" dan "BAR", pertanyaan mesti memilih secara dinamik antara "FOO_BAR" atau jadual lain.

SQL dinamik dan carian jadual

Untuk menyelesaikan masalah ini, kami menggunakan SQL dinamik bersama-sama dengan carian jadual. Kami tidak memasukkan nama jadual yang diluluskan secara langsung dalam pertanyaan SQL, tetapi menggunakannya untuk mendapatkan semula nama jadual sebenar daripada jadual rujukan. Ini adalah perlindungan utama terhadap suntikan SQL, kerana data yang dibekalkan pengguna tidak boleh diakses secara langsung oleh pertanyaan pelaksana.

Contoh mudah

Pertimbangkan prosedur tersimpan berikut: 

CREATE PROC spCountAnyTableRows( @PassedTableName as NVarchar(255) ) AS
-- 安全地计算任何非系统表中的行数
BEGIN
    DECLARE @ActualTableName AS NVarchar(255)

    SELECT @ActualTableName = QUOTENAME( TABLE_NAME )
    FROM INFORMATION_SCHEMA.TABLES
    WHERE TABLE_NAME = @PassedTableName

    DECLARE @sql AS NVARCHAR(MAX)
    SELECT @sql = 'SELECT COUNT(*) FROM ' + @ActualTableName + ';'

    EXEC(@SQL)
END

Proses ini membina pertanyaan SQL secara dinamik berdasarkan nama jadual yang diluluskan, memastikan bahawa hanya baris daripada jadual yang sah dikembalikan.

Mitigasi Kerentanan: Memahami "Little Bobby Watch"

Komik XKCD terkenal "Little Bobby Table" menggambarkan potensi bahaya suntikan SQL. Dengan bijak membenamkan aksara khas dalam nama jadual, penyerang boleh memanipulasi pertanyaan untuk mengakses data sensitif atau melakukan operasi yang tidak dibenarkan. Carian jadual dalam contoh kami menghalang jenis serangan ini dengan berkesan kerana ia memastikan input pengguna tidak boleh menjejaskan nama jadual sebenar yang digunakan dalam pertanyaan.

Kesimpulan

Menyalurkan nama jadual kepada prosedur yang disimpan memerlukan pertimbangan yang teliti terhadap implikasi keselamatan. Dengan menggabungkan SQL dinamik dengan carian jadual, kami mencipta penyelesaian yang berkuasa dan fleksibel yang menghapuskan risiko suntikan SQL sambil mengekalkan kedinamikan yang diperlukan.

Atas ialah kandungan terperinci Bagaimanakah Saya Boleh Menyalurkan Nama Jadual dengan Selamat kepada Prosedur Tersimpan?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!

Kenyataan
Kandungan artikel ini disumbangkan secara sukarela oleh netizen, dan hak cipta adalah milik pengarang asal. Laman web ini tidak memikul tanggungjawab undang-undang yang sepadan. Jika anda menemui sebarang kandungan yang disyaki plagiarisme atau pelanggaran, sila hubungi admin@php.cn
Artikel Berkaitan
Kurangkan penggunaan memori MySQL di DockerKurangkan penggunaan memori MySQL di DockerMar 04, 2025 pm 03:52 PM

Artikel ini meneroka mengoptimumkan penggunaan memori MySQL di Docker. Ia membincangkan teknik pemantauan (statistik Docker, skema prestasi, alat luaran) dan strategi konfigurasi. Ini termasuk had memori docker, swapping, dan cgroups, bersama -sama

Cara menyelesaikan masalah MySQL tidak dapat membuka perpustakaan bersamaCara menyelesaikan masalah MySQL tidak dapat membuka perpustakaan bersamaMar 04, 2025 pm 04:01 PM

Artikel ini menangani ralat "tidak dapat membuka perpustakaan kongsi" MySQL. Isu ini berpunca daripada ketidakupayaan MySQL untuk mencari perpustakaan bersama yang diperlukan (.so/.dll fail). Penyelesaian melibatkan mengesahkan pemasangan perpustakaan melalui pakej sistem m

Bagaimana anda mengubah jadual di MySQL menggunakan pernyataan Alter Table?Bagaimana anda mengubah jadual di MySQL menggunakan pernyataan Alter Table?Mar 19, 2025 pm 03:51 PM

Artikel ini membincangkan menggunakan pernyataan jadual Alter MySQL untuk mengubah suai jadual, termasuk menambah/menjatuhkan lajur, menamakan semula jadual/lajur, dan menukar jenis data lajur.

Jalankan MySQL di Linux (dengan/tanpa bekas podman dengan phpmyadmin)Jalankan MySQL di Linux (dengan/tanpa bekas podman dengan phpmyadmin)Mar 04, 2025 pm 03:54 PM

Artikel ini membandingkan memasang MySQL pada Linux secara langsung berbanding menggunakan bekas podman, dengan/tanpa phpmyadmin. Ia memperincikan langkah pemasangan untuk setiap kaedah, menekankan kelebihan Podman secara berasingan, mudah alih, dan kebolehulangan, tetapi juga

Apa itu SQLite? Gambaran Keseluruhan KomprehensifApa itu SQLite? Gambaran Keseluruhan KomprehensifMar 04, 2025 pm 03:55 PM

Artikel ini memberikan gambaran menyeluruh tentang SQLite, pangkalan data relasi tanpa server tanpa mandiri. Ia memperincikan kelebihan SQLITE (kesederhanaan, mudah alih, kemudahan penggunaan) dan kekurangan (batasan konkurensi, cabaran skalabiliti). C

Menjalankan Pelbagai Versi MySQL di MacOS: Panduan Langkah demi LangkahMenjalankan Pelbagai Versi MySQL di MacOS: Panduan Langkah demi LangkahMar 04, 2025 pm 03:49 PM

Panduan ini menunjukkan pemasangan dan menguruskan pelbagai versi MySQL pada macOS menggunakan homebrew. Ia menekankan menggunakan homebrew untuk mengasingkan pemasangan, mencegah konflik. Pemasangan Butiran Artikel, Permulaan/Perhentian Perkhidmatan, dan PRA Terbaik

Bagaimana saya mengkonfigurasi penyulitan SSL/TLS untuk sambungan MySQL?Bagaimana saya mengkonfigurasi penyulitan SSL/TLS untuk sambungan MySQL?Mar 18, 2025 pm 12:01 PM

Artikel membincangkan mengkonfigurasi penyulitan SSL/TLS untuk MySQL, termasuk penjanaan sijil dan pengesahan. Isu utama menggunakan implikasi keselamatan sijil yang ditandatangani sendiri. [Kira-kira aksara: 159]

Apakah beberapa alat GUI MySQL yang popular (mis., MySQL Workbench, phpmyadmin)?Apakah beberapa alat GUI MySQL yang popular (mis., MySQL Workbench, phpmyadmin)?Mar 21, 2025 pm 06:28 PM

Artikel membincangkan alat MySQL GUI yang popular seperti MySQL Workbench dan PHPMyAdmin, membandingkan ciri dan kesesuaian mereka untuk pemula dan pengguna maju. [159 aksara]

See all articles

Alat AI Hot

Undresser.AI Undress

Undresser.AI Undress

Apl berkuasa AI untuk mencipta foto bogel yang realistik

AI Clothes Remover

AI Clothes Remover

Alat AI dalam talian untuk mengeluarkan pakaian daripada foto.

Undress AI Tool

Undress AI Tool

Gambar buka pakaian secara percuma

Clothoff.io

Clothoff.io

Penyingkiran pakaian AI

AI Hentai Generator

AI Hentai Generator

Menjana ai hentai secara percuma.

Tunjukkan Lagi

Artikel Panas

R.E.P.O. Kristal tenaga dijelaskan dan apa yang mereka lakukan (kristal kuning)
2 minggu yang laluBy尊渡假赌尊渡假赌尊渡假赌
Repo: Cara menghidupkan semula rakan sepasukan
4 minggu yang laluBy尊渡假赌尊渡假赌尊渡假赌
Hello Kitty Island Adventure: Cara mendapatkan biji gergasi
4 minggu yang laluBy尊渡假赌尊渡假赌尊渡假赌
Berapa lama masa yang diperlukan untuk mengalahkan fiksyen berpecah?
3 minggu yang laluByDDD
R.E.P.O. Simpan Fail Lokasi: Di ​​manakah & bagaimana untuk melindunginya?
3 minggu yang laluByDDD
Tunjukkan Lagi

Alat panas

MantisBT

MantisBT

Mantis ialah alat pengesan kecacatan berasaskan web yang mudah digunakan yang direka untuk membantu dalam pengesanan kecacatan produk. Ia memerlukan PHP, MySQL dan pelayan web. Lihat perkhidmatan demo dan pengehosan kami.

DVWA

DVWA

Damn Vulnerable Web App (DVWA) ialah aplikasi web PHP/MySQL yang sangat terdedah. Matlamat utamanya adalah untuk menjadi bantuan bagi profesional keselamatan untuk menguji kemahiran dan alatan mereka dalam persekitaran undang-undang, untuk membantu pembangun web lebih memahami proses mengamankan aplikasi web, dan untuk membantu guru/pelajar mengajar/belajar dalam persekitaran bilik darjah Aplikasi web keselamatan. Matlamat DVWA adalah untuk mempraktikkan beberapa kelemahan web yang paling biasa melalui antara muka yang mudah dan mudah, dengan pelbagai tahap kesukaran. Sila ambil perhatian bahawa perisian ini

SublimeText3 versi Inggeris

SublimeText3 versi Inggeris

Disyorkan: Versi Win, menyokong gesaan kod!

Penyesuai Pelayan SAP NetWeaver untuk Eclipse

Penyesuai Pelayan SAP NetWeaver untuk Eclipse

Integrasikan Eclipse dengan pelayan aplikasi SAP NetWeaver.

Dreamweaver Mac版

Dreamweaver Mac版

Alat pembangunan web visual

Tunjukkan Lagi

Topik panas

Di manakah pintu masuk log masuk untuk e-mel gmail?
7323
9
Tutorial Java
1625
14
Tutorial CakePHP
1350
46
Tutorial Laravel
1262
25
Tutorial PHP
1209
29
Tunjukkan Lagi