如何通过参数化过程在存储过程中避免EXEC命令的SQL注入风险?
- 内容介绍
- 文章标签
- 相关推荐
本文共计868个文字,预计阅读时间需要4分钟。
由于EXEC(或sp_executesql)执行的SQL是动态字符串,如果用户输入直接拼接的字符串,攻击者可能通过注入恶意代码。例如,输入@@table_name='users; DROP TABLE orders; --',拼接成EXEC('SELECT * FROM ' + @@table_name),就会实际执行删除表的操作。
根本问题不在 EXEC 本身,而在于字符串拼接环节丢失了参数边界。SQL Server 不会对拼接后的字符串做参数校验,所有内容都被当作文本原样执行。
必须用 sp_executesql + 参数占位符
sp_executesql 是唯一支持真正参数化的动态执行方式,它把 SQL 模板和参数值分开传递,SQL Server 内部会严格区分代码和数据。
本文共计868个文字,预计阅读时间需要4分钟。
由于EXEC(或sp_executesql)执行的SQL是动态字符串,如果用户输入直接拼接的字符串,攻击者可能通过注入恶意代码。例如,输入@@table_name='users; DROP TABLE orders; --',拼接成EXEC('SELECT * FROM ' + @@table_name),就会实际执行删除表的操作。
根本问题不在 EXEC 本身,而在于字符串拼接环节丢失了参数边界。SQL Server 不会对拼接后的字符串做参数校验,所有内容都被当作文本原样执行。
必须用 sp_executesql + 参数占位符
sp_executesql 是唯一支持真正参数化的动态执行方式,它把 SQL 模板和参数值分开传递,SQL Server 内部会严格区分代码和数据。