代码之家  ›  专栏  ›  技术社区  ›  pilcrow

在pl/sql中引用动态sql的标识符

dynamic-sql plsql oracle
  •  1
  • pilcrow  · 技术社区  · 14 年前

    是否有PL/SQL函数或通用技术来引用不合格的标识符(例如, mytable )用于动态构造的SQL查询?部分或完全限定的标识符如何( a.b@c )?

    考虑这个人为的例子: 

    CREATE PROCEDURE by_the_numbers(COL_NAME VARCHAR, INTVAL INTEGER) IS
  ...
BEGIN
  -- COL_NAME is interpolated into SQL string
  -- INTVAL gets bound to :1
  stmt := 'SELECT * FROM tbl WHERE ' || COL_NAME || ' = :1';
  ...
END

    …我们不想允许幼稚的SQL注入 COL_NAME (例如,“1=1或1”)。

    1 回复  |  直到 14 年前
        1
  •  3
  •   TTT    14 年前

    有DBMS断言: http://www.oracle-base.com/articles/10g/dbms_assert_10gR2.php 用于防止SQL注入。

    推荐文章
    maddy  ·  如何根据oracle SQL中的某一列值进行排名
    1 年前
    kiric8494  ·  显示以元音开头和结尾的城市名称
    2 年前
    Marko Masnikosa  ·  为什么SUBSTR不使用instr在结束索引处停止?
    2 年前
    Franz Biberkopf  ·  Oracle:组合子查询和聚合函数
    2 年前
    BitLauncher  ·  甲骨文-如何模拟位列和布尔和/或?
    2 年前
    Arifullah  ·  如何从oracle中的列中删除特定的初始字符?
    2 年前
    Anar  ·  Oracle SQL用户定义函数
    2 年前
    Ewerton Alves  ·  如何获取下一季度的数据-ORACLE SQL
    2 年前
    Pierre-olivier Gendraud  ·  如何在sql*plus中执行动态sql语句
    2 年前
    user1312312  ·  如何为一组表编写通用触发器?
    2 年前
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号