預存程序如何安全地處理 SQL 查詢中的動態表名？

安全處理動態表名：解決動態SQL查詢問題

在Web開發中，依照使用者提供的數值客製化SQL查詢是一種常見做法。但是，手動修改SQL語句可能會導致SQL注入等安全漏洞。您遇到的問題涉及根據使用者輸入選擇不同名稱的表。

使用動態SQL的預存程序

為了解決這個問題，考慮使用具有動態SQL的參數化預存程序。不要直接將使用者提供的表名替換到查詢中，而是使用它來尋找實際要查詢的表。這確保了查詢的安全性。

例如，建立一個像這樣的預存程序：

<code class="language-sql">CREATE PROC spCountAnyTableRows( @PassedTableName as NVarchar(255) ) AS
-- 安全地计算任何非系统表的行数
BEGIN
    DECLARE @ActualTableName AS NVarchar(255)

    SELECT @ActualTableName = QUOTENAME( TABLE_NAME )
    FROM INFORMATION_SCHEMA.TABLES
    WHERE TABLE_NAME = @PassedTableName

    DECLARE @sql AS NVARCHAR(MAX)
    SELECT @sql = 'SELECT COUNT(*) FROM ' + @ActualTableName + ';'

    EXEC(@SQL)
END</code>

此程序從使用者取得@PassedTableName參數，使用INFORMATION_SCHEMA.TABLES尋找實際表名，並建立一個安全的SQL查詢，可以使用EXEC(@SQL)執行。

安全性與防護

務必注意，這種方法比直接執行使用者提供的SQL語句更安全。 INFORMATION_SCHEMA.TABLES尋找可防止使用者存取未授權的資料表或註入惡意程式碼。

替代方法

或者，您可以考慮重構資料庫模式，使用帶有TableName列的單一表來區分不同的表。這種方法消除了對動態SQL的需求。但是，這在所有情況下都可能不可行。

以上是預存程序如何安全地處理 SQL 查詢中的動態表名？的詳細內容。更多資訊請關注PHP中文網其他相關文章！