那些遇到过的问题

使用动态sql的替代方法

xxy*_*yxx 7 sql t-sql stored-procedures

我有一个输入@featuretype的sp.@featuretype将等于"mobile","login"或"index",并且将对应于db中的列.

在我的sp我有:

EXEC(
    'select TOP 3 * from featuredtypes_v where'+' featuredtypes_v.'+@featuretype+'Page=1'+
    ' order by featuredtypes_v.priority desc'
    )
Run Code Online (Sandbox Code Playgroud)

但是,我被告知这会打开一个sql注入数据库.我的两个问题是,为什么会这样,以及如何编写此查询以避免这种情况呢?

Far*_*han 6

你为什么不用case

select TOP 3 * 
from featuredtypes_v F
where
    case
        when @featuretype = 'mobile' then F.MobilePage
        when @featuretype = 'login' then F.LoginPage
        when @featuretype = 'index' then F.IndexPage
    end
    = 1
Run Code Online (Sandbox Code Playgroud)

归档时间:

查看次数:

1983 次

最近记录:

7 年,10 月 前
相关归档
如何使用序列值将多行插入oracle? 43
TSQL中表名前面的"#"是什么意思? 36
如何在SQL Server中无所事事 35
如何在Doctrine2中使用SQL的YEAR(),MONTH()和DAY()? 29
如何在SQLPLUS中执行SQL脚本期间回显文本 26
如何在 postgreSQL 命令中指示在哪个数据库中执行脚本?(类似于 SQL Server 的“使用”命令) 13
按第一列分组,并拆分(pivot?)剩余两列 7
与ADO.NET,SQLite和TSQL的只读连接 5
语句"USE @dbname"不起作用,为什么?怎么做? 4
将函数结果分配给表变量 2
难疑归档
如何在另一个JavaScript文件中包含JavaScript文件? 4904
jQuery滚动到元素 2196
如何从git repo中删除文件? 1795
使用其名称(字符串)调用模块的函数 1580
int32的最大值是多少? 1383
Android中的gravity和layout_gravity有什么区别? 1286
检查Ruby中的数组中是否存在值 1258
如何使用CSS设置<select>下拉列表的样式? 1258
如何在PHP中获取客户端IP地址 1123
visibility:hidden和display:none之间有什么区别? 1121