假设我想写一个过程,允许我在某个列上调用某个函数,例如:
call foo('min','age') -> SELECT min(age) FROM table;我希望我的过程不受sql注入的影响,因此,我愿意使用准备好的语句并参数化输入
SET @var = "SELECT ?(?) FROM table;"
PREPARE x FROM @var;
EXECUTE x USING a, b;其中a和b分别是输入参数、函数和列。
然而,这似乎是不可能的-每当我想执行这个语句时,innodb总是抛出一个错误。
是可以这样解决,还是我需要诉诸白名单?
编辑:完整代码:
create procedure test(in func varchar(20), in col varchar(20))
begin
set @f = func;
set @c = col;
set @sql = "select ?(?) from table;";
prepare x from @sql;
execute x using @f, @c;
end;打电话:
call test('min','age');完全错误:
[42000][1064]您的sql语法有错误;检查与mysql服务器版本相对应的手册,以获得在第1行的“(?)from table”附近使用的正确语法
1条答案
按热度按时间vc9ivgsu1#
不能参数化列/表/函数名/别名。作为,
PREPARE语句只允许sql查询的“值”部分用作参数。函数/表/列名/别名用于确定sql语句的有效性;因此在运行时执行期间不能更改。在执行时更改它可能会改变sql语句是否有效。你可以把它看作是编译代码;因此,编译器必须知道创建有效可执行文件所需的所有函数/类名等(是的,我们可以创建动态类,但这很少见)。另一方面,我们可以更改程序的输入“值”,但通常不能更改对输入数据执行的操作。
此外,mysql服务器在执行查询之前,会将参数视为文本,并在其周围应用引号。
现在,在您的例子中,您仍然可以使用函数名作为存储过程的参数,并使用它生成查询字符串。但不能将其用作查询本身的参数。