动态sql sp_executesql/execute(@sql)暗藏杀机

howyougen 2002-09-30 02:08:10

形如如下的脚本：
declare @sql nvarchar(1000)
set @sql='select '+@sql
exec sp_executesql @stmt=@sql
只是想简单的把一个结果返回给客户端
@sql=' 1+1'
但是这里有一个严重的安全问题！
比如
@sql=' 1+1 delete myuser'
将会删除myuser表的全部信息
除了select外，有没有其它的将信息较安全的返回给客户端的办法？
（print是不行的，我试了）

...全文

46 3 打赏收藏转发到动态举报

写回复

3 条回复

切换为时间正序

请发表友善的回复…

发表回复

howyougen 2002-09-30

打赏
举报

回复

微软应该提供一个判断字符串内是否存在系统任何关键字的函数

zqllyh 2002-09-30

打赏
举报

回复

只能再加判断了，只处理出现SELECT的语句。。。。

saucer 2002-09-30

打赏
举报

回复

there is no safe way, when you allow people to enter straight SQL statements, you basically have given the securities away

execute相信大家都用的用熟了，简写为exec,除了用来执行存储过程，一般都用来执行动态Sql sp_executesql，sql2005中引入的新的系统存储过程，也是用来处理动态sql的, 如： exec sp_executesql @sql, N'@count int out,@id varchar(20)', @cou out ,@id @sql为拼成的动态sql N'@count in...

详情请查看microsoft： https://docs.microsoft.com/zh-cn/sql/relational-databases/system-stored-procedures/sp-executesql-transact-sql?view=sql-server-2017 CREATE TABLE [dbo].[Test]( [ID] [int] IDENTITY(1,...

execute相信大家都用的用熟了，简写为exec,除了用来执行存储过程，一般都用来执行动态Sql sp_executesql，sql2005中引入的新的系统存储过程，也是用来处理动态sql的,如： exec sp_executesql @sql, N'@count int out,@id varchar(20)', @cou out ,@id @sql为拼成的动态sql N'@count int out,@id varchar(20)'为拼成的动态sql内的参数列表--N' '表示将N后单引号里的字符转换

Procedure expects parameter '@statement' of type 'ntext/nchar/nvarchar'，

出现这个提示,是因为变量@sql的类型有误,声明时应该写成nvarchar,如:
declare @sql nvarchar(50)

Must declare the scalar variable
EXEC sp_executesql

EXEC<

sp_executesql的用法sp_executesql介绍和使用示例一 declare @count int,@tableName nvarchar(50),@SQLString nvarchar(max),@proid int,@id int,@ParmDefinition nvarchar(max); set @tableName='table27'; set @proid=433...

34,874

社区成员

254,639

社区内容

发帖

与我相关

我的任务

社区管理员

加入社区

近7日
近30日
至今

加载中

查看更多榜单

社区公告

暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章