防止 SQL 注入

这里还是有注入的潜力的。让我们假设：

1. 有人有能力在此数据库中创建表，但不能删除它们
2. 有人有能力调用这个过程
3. 该过程以提升的用户身份运行

该人可以调用此过程以从 获取结果foo，但同时创建一个名为 的表[foo;drop table bar]，然后作为参数值传入foo;drop table bar。它会通过你的检查，然后你会盲目地执行它。他们从中获得结果，foo但他们也删除了表bar。

现在，这是一个非常人为的场景，您可能不担心内部人员删除表，但他们也可以使用它来利用他们无权访问的数据，例如，他们可以创建一个名为的表[foo;SELECT name,salary FROM dbo.Employees;]并最终有两个结果集，一个包含您可能不应该让他们看到的数据。

如果在不同模式中存在具有相同名称的表，也有可能从错误的表中获取数据。在创建或引用对象时总是，总是，总是使用模式前缀：

• 要改掉的坏习惯：避免模式前缀

最后，不要使用INFORMATION_SCHEMA. 目录视图和元数据功能更加完整、最新和可靠：

• 针对 INFORMATION_SCHEMA 视图的案例

我可能会这样做（为了简单起见，我将假设您的所有表都在 dbo 中）：

DECLARE @table SYSNAME; -- procedure parameter, right?

DECLARE @sql NVARCHAR(MAX);
IF OBJECT_ID(N'dbo.' + QUOTENAME(@table), N'U') IS NOT NULL
BEGIN
  SET @sql = N'SELECT * FROM dbo.' + QUOTENAME(@table) + ';';
  EXEC sp_executesql @sql;
END

这样，即使他们将foo;drop table barorfoo;select name,salary from dbo.employees作为表名传递，整个字符串也会被方括号括起来，因此可能发生的最糟糕的事情是他们将从他们创建的表中获取结果，而不是从任何其他表或更糟的表中获取结果。

而且我会确保该过程以该用户身份运行，而不是升级使用EXECUTE AS（适当权限配置的常见旁路）。另见：

• 要改掉的坏习惯：使用 SELECT *

您是否尝试过执行这两个脚本？因为这不是正确的语法。我假设第一个脚本是这样的：

declare @tVariable nvarchar(max)
declare @stmt nvarchar(max) 
declare @par1 nvarchar(500); 

set @tVariable= 'sysusers'    
set @stmt = 'select * from ' +@tVariable
set @par1 = null
EXEC sp_executesql @stmt, @par1

但是如果你改变它很容易被黑客set @tVariable= 'sysusers'攻击[set @tVariable= 'sysobjects; drop table SOMETABLE'][1]

因此，您应该真正使用参数，因为应该使用sp_executesql。

declare @tVariable nvarchar(50)
declare @stmt nvarchar(max) 
declare @par1 nvarchar(500);    

set @tVariable= 'sysusers'    
set @stmt = 'select * from ' +@tVariable +' order by 1'
set @par1 = N'@tVariable nvarchar(50)'
EXEC sp_executesql @stmt, @par1, @tVariable

是的。通过首先检查参数，您将消除注入漏洞。

否- 正如 Aaron 在他的回答中指出的那样，您仍然可以使用此构造创建 SQL 注入。

需要明确的是，您永远不应该连接 SQL。使用 sp_executesql 的内置参数处理。