必须用sp_executesql代替EXEC实现参数化查询,严格声明参数类型与长度,对表名列名等动态部分采用白名单校验,并对输入参数做强类型声明和范围检查。存储过程中用 sp_executesql 代替 EXEC 才安全直接拼接字符串再执行,哪怕在存储过程里,照样被注入。SQL Server 的 EXEC 会把整个字符串当命令解析,参数没隔离------@sql = 'SELECT * FROM users WHERE id = ' + @id 这种写法,传入 @id = '1; DROP TABLE users; --' 就完蛋。必须改用 sp_executesql,它支持真正的参数化查询,SQL 引擎会在编译阶段就区分代码和数据:DECLARE @sql NVARCHAR(MAX) = N'SELECT * FROM users WHERE status = @status AND created_after = @since';EXEC sp_executesql @sql, N'@status TINYINT, @since DATETIME', @status = 1, @since = '2024-01-01';sp_executesql 的第二个参数是参数定义字符串,必须显式声明类型和长度(比如 NVARCHAR(50),不能只写 NVARCHAR)第三个及之后的参数才是实际值,顺序和定义严格对应别图省事把变量名和参数名搞混:定义里写 @status,调用时也得传 @status = ...,不是传变量值本身如果动态部分涉及表名或列名(无法参数化),必须走白名单校验,不能靠 REPLACE 或正则过滤所有用户输入进存储过程前,先做类型强转和范围检查即使用了 sp_executesql,如果参数本身是弱类型或未校验,攻击者仍可能绕过。比如把 @id 设为 INT 类型,但调用时传入 '1 OR 1=1',SQL Server 会隐式转成 1------看似安全,实则掩盖了上游传参不规范的问题。存储过程参数声明必须用具体、窄的类型:@user_id INT,而不是 @user_id SQL_VARIANT 或宽泛的 NVARCHAR(MAX)对数字类参数,加 IF @user_id < 1 OR @user_id > 999999 RETURN 这类硬约束对字符串类参数(如用户名),用 LEN(@name) > 0 AND LEN(@name) <= 50 AND @name NOT LIKE '%[^a-zA-Z0-9_]%' 控制内容范围避免在存储过程里做 CAST 或 CONVERT 转换用户输入------转换失败会报错,但成功转换后可能已失真禁止在存储过程中拼接对象名(表名、列名、排序字段)表名、列名、ORDER BY 字段这些语法成分,SQL Server 不允许用参数占位,硬拼就是高危操作。见过太多人写 SET @sql = 'SELECT * FROM ' + @table_name,再加一层 QUOTENAME(@table_name) 就以为万事大吉------但 QUOTENAME 只防单引号,防不了 ]; DROP TABLE x; -- 这种结尾注入。 唱鸭 音乐创作全流程的AI自动作曲工具,集 AI 辅助作词、AI 自动作曲、编曲、混音于一体
相关推荐
曹牧4 分钟前
PL/SQL:视图(View)比较2301_781571424 分钟前
如何配置用户的资源使用上限_MAX_QUERIES_PER_HOUR查询频率限制2501_901200538 分钟前
编写表与字段注释后数据无法保存怎么排查_权限设置与回滚处理m0_7335654621 分钟前
mysql数据库执行全量备份影响业务_利用xtrabackup实现无锁备份楠枬26 分钟前
Redis 事务2401_8800714026 分钟前
golang如何编写DNS查询工具_golang DNS查询工具编写大全phltxy27 分钟前
怎么样持续提升自己的编程能力?轻刀快马27 分钟前
穿透 MQ 专栏 (五):【终局之战】MySQL 和 MQ 的世纪联姻:扒开“分布式事务”的遮羞布Elastic 中国社区官方博客30 分钟前
Elasticsearch 9.4 为 Elastic AI 生态系统的下一阶段提供支持:Dell AI Data Platform(与 NVIDIA 合作)预测模型的开发与应用研究31 分钟前
Oracle双库部署