我已经用sp_executesql编写了两个存储过程,其他没有sp_executesql
两者都正在执行相同的结果,我没有得到什么区别
两者都正在执行相同的结果,我没有得到什么区别
EXEC (@sql) vs EXEC sp_executesql @sql,N’@eStatus varchar(12)’,
@eStatus = @Status
和EXEC(@sql)如何易于sql注入和sp_executesql @sql ……不是?
没有sp_executesql的存储过程下面
ALTER proc USP_GetEmpByStatus ( @Status varchar(12) ) AS BEGIN DECLARE @TableName AS sysname = 'Employee' Declare @Columns as sysname = '*' DECLARE @sql as nvarchar(128) = 'select ' + @Columns + ' from ' + @TableName + ' where Status=' + char(39) + @Status + char(39) print (@sql) EXEC (@sql) END EXEC USP_GetEmpByStatus 'Active'
以下存储过程与sp_executesql
create proc USP_GetEmpByStatusWithSpExcute ( @Status varchar(12) ) AS BEGIN DECLARE @TableName AS sysname = 'JProCo.dbo.Employee' Declare @Columns as sysname = '*' DECLARE @sql as nvarchar(128) = 'select ' + @Columns + ' from ' + @TableName + ' where Status=' + char(39) + @Status + char(39) print @sql exec sp_executesql @sql,N'@eStatus varchar(12)',@eStatus = @Status END EXEC USP_GetEmpByStatusWithSpExcute 'Active'
解决方法
你的sp_executesql sql应该是;
DECLARE @sql as nvarchar(128) = 'select ' + @Columns + ' from ' + @TableName + ' where Status=@eStatus'
这将允许您使用@eStatus作为参数调用sp_executesql,而不是将其嵌入到sql中.这将有利于@eStatus可以包含任何字符,如果需要安全,它将被数据库自动正确地转义.
对应于EXEC所需的sql;
DECLARE @sql as nvarchar(128) = 'select ' + @Columns + ' from ' + @TableName + ' where Status=' + char(39) + @Status + char(39)
…嵌入@Status中的char(39)将使您的sql无效,并可能创建sql注入的可能性.例如,如果@Status设置为O’Reilly,则生成的sql将为;
select acol,bcol,ccol FROM myTable WHERE Status='O'Reilly'
