代码之家  ›  专栏  ›  技术社区  ›  pilcrow

在pl/sql中引用动态sql的标识符

dynamic-sql plsql oracle
  •  1
  • pilcrow  · 技术社区  · 14 年前

    是否有PL/SQL函数或通用技术来引用不合格的标识符(例如, mytable )用于动态构造的SQL查询?部分或完全限定的标识符如何( a.b@c )?

    考虑这个人为的例子: 

    CREATE PROCEDURE by_the_numbers(COL_NAME VARCHAR, INTVAL INTEGER) IS
  ...
BEGIN
  -- COL_NAME is interpolated into SQL string
  -- INTVAL gets bound to :1
  stmt := 'SELECT * FROM tbl WHERE ' || COL_NAME || ' = :1';
  ...
END

    …我们不想允许幼稚的SQL注入 COL_NAME (例如,“1=1或1”)。

    1 回复  |  直到 14 年前
        1
  •  3
  •   TTT    14 年前

    有DBMS断言: http://www.oracle-base.com/articles/10g/dbms_assert_10gR2.php 用于防止SQL注入。

    推荐文章
    Ewerton Alves  ·  如何获取下一季度的数据-ORACLE SQL
    2 年前
    vytaute  ·  返回表类型时Oracle函数中的类型错误
    2 年前
    Niels Van Steen  ·  Oracle PL SQL函数没有INTO子句,但它实际上有一个SELECT INTO
    2 年前
    Niels  ·  在包内调用Oracle SQL(PL SQL)过程会返回错误
    2 年前
    Dante  ·  请参阅ORA-00905:WHERE子句中的CASE语句导致缺少关键字错误
    2 年前
    wolφi  ·  使用PL/SQL使用web服务:UTL_DBWS还是APEX_web_服务?
    6 年前
    BetaRide  ·  Oracle架构用户无法在过程中创建表
    6 年前
    F.donoso  ·  嵌套的隐式游标未在数据中清除
    6 年前
    ADH  ·  如何在网格中调用过程和输出结果
    6 年前
    Zampanò  ·  正在寻找具有解决方案的优秀在线PL/SQL练习[已关闭]
    6 年前
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号