public static bool TruncateTable(string dbAlias, string tableName) { string sqlStatement = string.Format("TRUNCATE TABLE {0}", tableName); return ExecuteNonQuery(dbAlias, sqlStatement) > 0; }
P粉4349968452023-11-08 20:39:55
據我所知,不能使用參數化查詢來執行DDL語句/指定表名,至少在Oracle或Sql Server中不能。如果我必須有一個瘋狂的 TruncateTable 函數,並且必須能夠避免 SQL 注入,那麼我會做的就是建立一個預存程序來檢查輸入是否是可以安全截斷的表。
-- Sql Server specific! CREATE TABLE TruncableTables (TableName varchar(50)) Insert into TruncableTables values ('MyTable') go CREATE PROCEDURE MyTrunc @tableName varchar(50) AS BEGIN declare @IsValidTable int declare @SqlString nvarchar(50) select @IsValidTable = Count(*) from TruncableTables where TableName = @tableName if @IsValidTable > 0 begin select @SqlString = 'truncate table ' + @tableName EXECUTE sp_executesql @SqlString end END
P粉7383463802023-11-08 09:41:58
對抗 SQL 注入的最常見建議是使用 SQL 查詢參數(該執行緒上的幾個人都建議這樣做)。
在這種情況下這是錯誤的答案。您無法在 DDL 語句中對錶名使用 SQL 查詢參數。
SQL 查詢參數只能用來取代 SQL 運算式中的文字值。這是每個 SQL 實作的標準。
當您有表名時,我建議防止 SQL 注入是根據已知表名清單驗證輸入字串。
You can get a list of valid table names from the INFORMATION_SCHEMA
:
SELECT table_name FROM INFORMATION_SCHEMA.Tables WHERE table_type = 'BASE TABLE' AND table_name = @tableName
現在您可以將輸入變數作為 SQL 參數傳遞給此查詢。如果查詢未傳回任何行,則您知道輸入無效,無法用作表。如果查詢返回一行,則它匹配,因此您可以更放心地使用它。
您也可以根據您定義為可以讓應用程式截斷的特定表格清單來驗證表格名稱,例如 @John Buchanan 建議。
Even after validating that tableName
exists as a table name in your RDBMS, I would also suggest delimiting the table name, just in case you use table names with spaces or special characters, In Microsoft SQL Server, the default identifier delimiters are square brackets:
string sqlStatement = string.Format("TRUNCATE TABLE [{0}]", tableName);
Now you're only at risk for SQL injection if tableName
matches a real table, and you actually use square brackets in the names of your tables!