存储过程EXEC vs sp_executesql的区别？

EXEC (@SQL) vs EXEC sp_executesql @SQL,N’@eStatus varchar(12)’,
@eStatus = @Status

和EXEC(@SQL)如何易于SQL注入和sp_executesql @SQL ……不是？

没有sp_executesql的存储过程下面

ALTER proc USP_GetEmpByStatus
(
@Status varchar(12)
)
AS
BEGIN
DECLARE @TableName AS sysname = 'Employee'
Declare @Columns as sysname = '*'
DECLARE @SQL as nvarchar(128) = 'select ' + @Columns + ' from ' + @TableName + ' where Status=' + char(39) + @Status + char(39)
print (@SQL)
EXEC (@SQL)
END

EXEC USP_GetEmpByStatus 'Active'

以下存储过程与sp_executesql

create proc USP_GetEmpByStatusWithSpExcute
(
@Status varchar(12)
)
AS
BEGIN
DECLARE @TableName AS sysname = 'JProCo.dbo.Employee'
Declare @Columns as sysname = '*'
DECLARE @SQL as nvarchar(128) = 'select ' + @Columns + ' from ' + @TableName + ' where Status=' + char(39) + @Status + char(39)
print @SQL
exec sp_executesql @SQL,N'@eStatus varchar(12)',@eStatus = @Status
END

EXEC USP_GetEmpByStatusWithSpExcute 'Active'

解决方法

DECLARE @SQL as nvarchar(128) = 'select ' + @Columns + ' from ' + 
            @TableName + ' where Status=@eStatus'

这将允许您使用@eStatus作为参数调用sp_executesql,而不是将其嵌入到SQL中.这将有利于@eStatus可以包含任何字符,如果需要安全,它将被数据库自动正确地转义.

对应于EXEC所需的SQL;

DECLARE @SQL as nvarchar(128) = 'select ' + @Columns + ' from ' + 
            @TableName + ' where Status=' + char(39) + @Status + char(39)

…嵌入@Status中的char(39)将使您的SQL无效,并可能创建SQL注入的可能性.例如,如果@Status设置为O’Reilly,则生成的SQL将为;

select acol,bcol,ccol FROM myTable WHERE Status='O'Reilly'

（编辑：李大同）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!