SQL 服务器 |我的存储过程可以吗?
SQL Server | Is my stored procedure is OK?
CREATE PROCEDURE spCountTableRowWHere
@TblName VARCHAR(50),
@TblID VARCHAR(10) = 'Id',
@WhereClause NVARCHAR(500) = '1=1'
AS
BEGIN
DECLARE @Query NVARCHAR(500)
DECLARE @ParamDefinition NVARCHAR(40)
DECLARE @Count INT
SET @Query = 'SELECT @C = COUNT('+@TblID+') FROM '+@TblName+' WHERE '+@WhereClause
SET @ParamDefinition = '@C INT OUTPUT'
EXECUTE SP_EXECUTESQL @Query, @ParamDefinition, @C = @Count OUTPUT
SELECT @Count
END
我想知道这种程序是否比针对不同表的单独程序更好。
简短的回答是否定的。
长答案是,它是 sql 注入攻击的开端。
想一想如果有人将以下字符串放入您的 where 子句参数中会发生什么:1=1; drop table myTable。
CREATE PROCEDURE spCountTableRowWHere
@TblName VARCHAR(50),
@TblID VARCHAR(10) = 'Id',
@WhereClause NVARCHAR(500) = '1=1'
AS
BEGIN
DECLARE @Query NVARCHAR(500)
DECLARE @ParamDefinition NVARCHAR(40)
DECLARE @Count INT
SET @Query = 'SELECT @C = COUNT('+@TblID+') FROM '+@TblName+' WHERE '+@WhereClause
SET @ParamDefinition = '@C INT OUTPUT'
EXECUTE SP_EXECUTESQL @Query, @ParamDefinition, @C = @Count OUTPUT
SELECT @Count
END
我想知道这种程序是否比针对不同表的单独程序更好。
简短的回答是否定的。
长答案是,它是 sql 注入攻击的开端。
想一想如果有人将以下字符串放入您的 where 子句参数中会发生什么:1=1; drop table myTable。