Question autour de sp_executesql

Colon · 27/05/2008, 21h39

Bonjour,
Si vous pouvez me dire simplement ce que je dois faire pour utiliser le nom d'une table (ou d'une vue) comme paramètre de sp_executesql (dans une stored proc.):

DECLARE @tab varchar(50)
SET @tab = 'uneTableQcq'
DECLARE @sql nvarchar(200)
DECLARE @param_def nvarchar(100)
DECLARE @p_tab varchar(50)
SET @sql = N'SELECT * FROM @p_tab;'
SET @param_def = N'@p_tab varchar(50)'
EXECUTE sp_executesql @sql, @param_def, @p_tab=@tab;

Je veux éviter de faire
SET @sql = N'SELECT * FROM' + @tab
pour des raisons de sécurité.

Merci!

seminoque · 27/05/2008, 23h35

Je ne pense pas que cela soit possible

Pourquoi ne pas créer une procédure stockée pour "cacher" le code SQL ?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
 
CREATE PROCEDURE MaProcedure
    @Matable NVARCHAR(50)
AS
    DECLARE @sql NVARCHAR(100)
    SET @sql = N'SELECT * FROM ' + @Matable
 
    EXECUTE sp_executesql @sql
GO
 
EXECUTE MaProcedure 'Table'

________________________________
Seminoque, créateur de
http://www.bingokaz.com

Colon · 28/05/2008, 15h20

Je ne voulais pas faire comme tu le propose pour sécuriser le code, surtout pour éviter de se faire "jéoparder" (si je puis dire):

http://blogs.msdn.com/raulga/archive...injection.aspx

WOLO Laurent · 29/05/2008, 12h18

Cette fonctionnalité a été ajouté dans la version 2008 de sql serveur.
Bon courage

27/05/2008, 21h39	#1
Colon Invité de passage Inscription : mai 2008 Messages : 3 Détails du profil Informations forums : Inscription : mai 2008 Messages : 3 Points : 0 Points : 0	Question autour de sp_executesql Bonjour, Si vous pouvez me dire simplement ce que je dois faire pour utiliser le nom d'une table (ou d'une vue) comme paramètre de sp_executesql (dans une stored proc.): DECLARE @tab varchar(50) SET @tab = 'uneTableQcq' DECLARE @sql nvarchar(200) DECLARE @param_def nvarchar(100) DECLARE @p_tab varchar(50) SET @sql = N'SELECT * FROM @p_tab;' SET @param_def = N'@p_tab varchar(50)' EXECUTE sp_executesql @sql, @param_def, @p_tab=@tab; Je veux éviter de faire SET @sql = N'SELECT * FROM' + @tab pour des raisons de sécurité. Merci!
	00

28/05/2008, 15h20	#3
Colon Invité de passage Inscription : mai 2008 Messages : 3 Détails du profil Informations forums : Inscription : mai 2008 Messages : 3 Points : 0 Points : 0	Question autour de sp_executesql Je ne voulais pas faire comme tu le propose pour sécuriser le code, surtout pour éviter de se faire "jéoparder" (si je puis dire): http://blogs.msdn.com/raulga/archive...injection.aspx
	00

29/05/2008, 12h18	#4
WOLO Laurent Rédacteur/Modérateur Laurent WOLO Architecte de base de données Inscription : mars 2003 Messages : 2 696 Détails du profil Informations personnelles : Nom : Laurent WOLO Âge : 35 Localisation : Congo-Brazzaville Informations professionnelles : Activité : Architecte de base de données Secteur : Finance Informations forums : Inscription : mars 2003 Messages : 2 696 Points : 3 917 Points : 3 917	Cette fonctionnalité a été ajouté dans la version 2008 de sql serveur. Bon courage __________________ Découvrez la FAQ de MS SQL Server. La chance accorde ses faveurs aux esprits avertis !
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email