如何使用預存程序中的參數安全地建立 SQL 登入？

使用預存程序中的參數建立SQL 登入

為了在SaaS 資料庫中自動建立租用戶，開發人員嘗試利用在CREATE LOGIN 語句中帶有參數化使用者名稱和密碼輸入的預存程序。然而，他們遇到了與錯誤語法相關的神秘錯誤訊息。

問題的根本原因在於 CREATE LOGIN 語法，它需要文字值而不是參數。若要解決此問題，有解決方法：

1. 將 CREATE LOGIN 指令包含在 EXEC 語句中。
2. 將 CREATE LOGIN 指令動態建構成字串變數。
3. 利用QUOTENAME() 防止潛在的SQL 注入

這是包含這些變更的儲存過程的修訂版本：

CREATE PROCEDURE [MyScheme].[Tenants_InsertTenant]
    @username nvarchar(2048),
    @password nvarchar(2048)
AS
BEGIN
    -- SET NOCOUNT ON added to prevent extra result sets from
    -- interfering with SELECT statements.
    SET NOCOUNT ON;

    DECLARE @sql nvarchar(max) = 'CREATE LOGIN ' + QUOTENAME(@username) + ' WITH PASSWORD = ' + QUOTENAME(@password, '''');
    EXEC(@sql)
END

透過實作此解決方法的修訂版本：

透過實作此解決方法，預存程序現在可以根據提供的動態建立SQL 登入參數，使租用戶建立過程完全自動化。

以上是如何使用預存程序中的參數安全地建立 SQL 登入？的詳細內容。更多資訊請關注PHP中文網其他相關文章！