[MSSQL/t-sql] Можно ли передать имя таблицы в виде параметра запроса / Программирование

Мобильная версия Контакт Правила FAQ Помощь

Гость

Войти | Регистрация | Профиль | Очистить

Форумы | Пользователи | Статистика | Мод. лог | Поиск

Доб. в избранное | Игнор. тему | Прикреп. тему | Пометить прочит. / непрочит. | Фильтр

Форумы / Программирование [игнор отключен] [закрыт для гостей] / [MSSQL/t-sql] Можно ли передать имя таблицы в виде параметра запроса

8 сообщений из 8, страница 1 из 1

[MSSQL/t-sql] Можно ли передать имя таблицы в виде параметра запроса

#40069778

Vadim S. Adamlyuk

Гость

Добрый день,

Пишу на golang, обращаюсь к MSSQL с ипользованием go-mssqldb, но как я понял, проблема не относится ни к языку программирования, ни к библиотеке, по крайней мере встречал похожие проблемы и на C#

Использую именованные параметры запросов для того, чтобы бороться с SQL injection
Но у меня есть проблема, заключающаяся в том, что имя таблицы задается в конфигурационном файле и, соответсвенно, его тоже нужно по-хорошему проверять на SQL injection.

Пытаюсь сделать такой запрос:

Код: sql

db.QueryContext(ctx, "select cont(*) as CNT from @TABLE_NAME", sql.Named("TABLE_NAME", "Test"))

Сообщение об ошибке:
mssql: Must declare the table variable "@TABLE_NAME".

На запрос вида:

Код: sql

db.QueryContext(ctx, "select cont(*) as CNT from [@TABLE_NAME]", sql.Named("TABLE_NAME", "Test"))

ошибка:
mssql: Invalid object name '@TABLE_NAME'

Может у кого-нибудь был опыт или есть идеи как передавать имя таблицы в виде параметра?

...

Рейтинг:

0 / 0

12.05.2021, 21:18

| Ответить | Цитировать | Написать

[MSSQL/t-sql] Можно ли передать имя таблицы в виде параметра запроса

#40069785

Akina

Участник

Откуда: Зеленоград, Москва, Россия

Сообщения: 20 644

Рейтинг: 0 / 0

EXECUTE (Transact-SQL)

См. Пример В.

...

Рейтинг:

0 / 0

12.05.2021, 21:52

| Ответить | Цитировать | Написать

[MSSQL/t-sql] Можно ли передать имя таблицы в виде параметра запроса

#40069813

Vadim S. Adamlyuk

Гость

Akina

EXECUTE (Transact-SQL)

См. Пример В.

Спасибо, работает.
Привожу тут ответ для тех, кто будет искать после меня:

Код: sql

db.QueryContext(ctx, "EXECUTE('select cont(*) as CNT from ' + @TABLE_NAME)", sql.Named("TABLE_NAME", "Test"))

Правда, я призадумался: а ведь при таком запросе не будет никакой защиты от SQL injection... :-/

...

Рейтинг:

0 / 0

13.05.2021, 01:11

| Ответить | Цитировать | Написать

[MSSQL/t-sql] Можно ли передать имя таблицы в виде параметра запроса

#40069826

Basil A. Sidorov

Участник

Сообщения: 11 633

Рейтинг: 0 / 0

Vadim S. Adamlyuk

Использую именованные параметры запросов для того, чтобы бороться с SQL injection

Чуток поправил.Но у меня есть проблема, заключающаяся в том, что имя таблицы задается в конфигурационном файле и, соответсвенно, его тоже нужно по-хорошему проверять на SQL injection.Вместо дурацкого динамического запроса к (проверяемому) объекту, делайте "обычные" запросы к схеме, чтобы убедиться, что объект интересующего вас типа (таблица или представление) - существует. В этом случае тоже будут некоторые проблемы с регистром написания имени, но решаются они на порядки проще.

...

Рейтинг:

0 / 0

13.05.2021, 05:41

| Ответить | Цитировать | Написать

[MSSQL/t-sql] Можно ли передать имя таблицы в виде параметра запроса

#40069834

White Owl

Участник

Сообщения: 12 726

Рейтинг: 0 / 0

Vadim S. Adamlyuk

Akina

EXECUTE (Transact-SQL)

См. Пример В.

Спасибо, работает.
Привожу тут ответ для тех, кто будет искать после меня:

Код: sql

db.QueryContext(ctx, "EXECUTE('select cont(*) as CNT from ' + @TABLE_NAME)", sql.Named("TABLE_NAME", "Test"))

Правда, я призадумался: а ведь при таком запросе не будет никакой защиты от SQL injection... :-/

Не будет. Именно в SQL injection ты и вляпался всеми ногами и руками.

Вообще, задача изначально стоит криво. Не надо делать выбор какую таблицу читать. Если у тебя есть задача разделить некие похожие данные "по таблицам", то сделай одну общую таблицу для всех этих данных и добавь в нее поле которое и будет играть роль твоей нынешней @TABLE_NAME (ну и сделай его частью ПК). А дальше стандартными параметрическими запросами, не забывая указывать какую из виртуальных таблиц тебе сейчас надо использовать.

...

Рейтинг:

0 / 0

13.05.2021, 06:37

| Ответить | Цитировать | Написать

[MSSQL/t-sql] Можно ли передать имя таблицы в виде параметра запроса

#40069837

court

Участник

Сообщения: 4 692

Рейтинг: 0 / 0

Vadim S. Adamlyuk

Правда, я призадумался: а ведь при таком запросе не будет никакой защиты от SQL injection... :-/

QUOTENAME

Код: sql

db.QueryContext(ctx, "EXECUTE('select cont(*) as CNT from ' + QUOTENAME(@TABLE_NAME))", sql.Named("TABLE_NAME", "Test"))

...

Рейтинг:

0 / 0

13.05.2021, 06:55

| Ответить | Цитировать | Написать

[MSSQL/t-sql] Можно ли передать имя таблицы в виде параметра запроса

#40069870

Basil A. Sidorov

Участник

Сообщения: 11 633

Рейтинг: 0 / 0

... а потом окажется, что "в файле конфигурации" имя таблицы записано строчными, а для идентификаторов в кавычках преобразование регистра не делается.

...

Рейтинг:

0 / 0

13.05.2021, 09:48

| Ответить | Цитировать | Написать

[MSSQL/t-sql] Можно ли передать имя таблицы в виде параметра запроса

#40086308

ShSerge

Участник

Откуда: ʚонɔ dиw

Сообщения: 24 440

Рейтинг: 0 / 0

Чтобы не было инжекшинов, можно использовать sp_executesql, а так, обычно, помогает замена одинарной кавычки на две одинарные.

...

Рейтинг:

0 / 0

26.07.2021, 17:58

| Ответить | Цитировать | Написать

8 сообщений из 8, страница 1 из 1

Цитировать

Написать

Автор*:

Ввести пароль для входа

Тема*:

Сообщение

Данное сообщение тематическое

Сообщение содержит картинки или видео 18+

Автор:

ВНИМАНИЕ! На данном подфоруме действуют строгие правила. Удостоверьтесь, что ваше сообщение соответствует им!

Форум или тема закрыты для гостей. Необходима авторизация!

Загрузить последнюю сохраненную версию

Вложение:

Вставить как галерею

Максимальный размер вложений: 4,0 МБ, аудио/видео: 8,0 МБ. Картинки большего размера ужимаются, если возможно.

Введите код, изображенный на картинке. Если код нечитаемый, кликните картинку, чтобы загрузить другой вариант.

Отправляя сообщение, я выражаю свое согласие с правилами форума и принимаю пользовательское соглашение.

Читали тему (0):

Читали форум (0):

Пользователи онлайн (0):

start [/forum/topic.php?fid=16&msg=40086308&tid=1339645]:	0ms
get settings:	11ms
get forum list:	13ms
check forum access:	3ms
check topic access:	3ms
track hit:	34ms
get topic data:	13ms
get forum data:	3ms
get page messages:	53ms
get tp. blocked users:	2ms
others:	261ms

total:	396ms