我已经用sp_executesql编写了两个存储过程,其他没有sp_executesql
两者都正在执行相同的结果,我没有得到什么区别
两者都正在执行相同的结果,我没有得到什么区别
EXEC (@sql) vs EXEC sp_executesql @sql,N’@eStatus varchar(12)’,
@eStatus = @Status
和EXEC(@sql)如何易于sql注入和sp_executesql @sql ……不是?
没有sp_executesql的存储过程下面
ALTER proc USP_GetEmpByStatus ( @Status varchar(12) ) AS BEGIN DECLARE @TableName AS sysname = 'Employee' Declare @Columns as sysname = '*' DECLARE @sql as nvarchar(128) = 'select ' + @Columns + ' from ' + @TableName + ' where Status=' + char(39) + @Status + char(39) print (@sql) EXEC (@sql) END EXEC USP_GetEmpByStatus 'Active'
以下存储过程与sp_executesql
create proc USP_GetEmpByStatusWithSpExcute ( @Status varchar(12) ) AS BEGIN DECLARE @TableName AS sysname = 'JProCo.dbo.Employee' Declare @Columns as sysname = '*' DECLARE @sql as nvarchar(128) = 'select ' + @Columns + ' from ' + @TableName + ' where Status=' + char(39) + @Status + char(39) print @sql exec sp_executesql @sql,N'@eStatus varchar(12)',@eStatus = @Status END EXEC USP_GetEmpByStatusWithSpExcute 'Active'
解决方法
你的sp_executesql sql应该是;
DECLARE @sql as nvarchar(128) = 'select ' + @Columns + ' from ' + @TableName + ' where Status=@eStatus'
这将允许您使用@eStatus作为参数调用sp_executesql,而不是将其嵌入到sql中.这将有利于@eStatus可以包含任何字符,如果需要安全,它将被数据库自动正确地转义.
对应于EXEC所需的sql;
DECLARE @sql as nvarchar(128) = 'select ' + @Columns + ' from ' + @TableName + ' where Status=' + char(39) + @Status + char(39)
…嵌入@Status中的char(39)将使您的sql无效,并可能创建sql注入的可能性.例如,如果@Status设置为O’Reilly,则生成的sql将为;
select acol,bcol,ccol FROM myTable WHERE Status='O'Reilly'
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。