堆栈内存溢出
  繁体   English   中英

SQL服务器| 我的存储过程可以吗?

[英]SQL Server | Is my stored procedure is OK?

 原文  2015-06-28 05:36:51       sql/ sql-server/ stored-procedures

问题描述

CREATE PROCEDURE spCountTableRowWHere
    @TblName VARCHAR(50),
    @TblID VARCHAR(10) = 'Id',
    @WhereClause NVARCHAR(500) = '1=1'
AS
BEGIN
    DECLARE @Query NVARCHAR(500)
    DECLARE @ParamDefinition NVARCHAR(40)
    DECLARE @Count INT
    SET @Query = 'SELECT @C = COUNT('+@TblID+') FROM '+@TblName+' WHERE '+@WhereClause
    SET @ParamDefinition = '@C INT OUTPUT'

    EXECUTE SP_EXECUTESQL @Query, @ParamDefinition, @C = @Count OUTPUT
    SELECT @Count
END

我想知道这样的过程是否比针对不同表的单独过程更好。

1 个解决方案

解决方案1
 4 已采纳  2015-06-28 06:31:40

最简洁的答案是不。
长答案是,这是对SQL注入攻击的一种开放。
想想如果有人将以下字符串放在where子句参数中会发生什么: 1=1; drop table myTable 1=1; drop table myTable

暂无
暂无

声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 如何检查sql server中的所有存储过程是否正常? 我在SQL Server中的存储过程出错 创建我的第一个SQL Server存储过程 SQL Server存储过程 SQL Server:存储过程 SQL Server-存储过程 如果插入失败,SQL Server存储过程将还原我的记录 SQL Server存储过程-参数 SQL Server 2012中的存储过程 在SQL Server上执行存储过程
相关标签
 
粤ICP备18138465号  © 2020-2024 STACKOOM.COM