ユーザーが入力したデータに次のような追加情報を追加して、データベースに対して実行するクエリを作成しています。
SELECT * FROM vBranch WHERE (((BranchIsActive = 'Yes' AND BranchIsValid =
'Yes') AND BranchIsInternational = 'Yes' AND 1=2) AND
vBranch.BranchSecurityGroup=1).
この部分:
SELECT * FROM vBranch WHERE ((
私が追加し、
そしてこの部分:
(BranchIsActive = 'Yes' AND BranchIsValid = 'Yes') AND BranchIsInternational
= 'Yes'
ユーザーが入力した値です
そしてこの部分:
AND 1=2) AND vBranch.BranchSecurityGroup=1)
も私によって追加されます。
ユーザーがデータを入力する前後に追加した文字列を除外するクエリをユーザーが作成し、ユーザーがデータベースに対して入力したデータのみを実行できるかどうかは疑問です。出来ますか?注意すべきことの 1 つは、データベースに対して実行する「select」ステートメントを作成しているため、「select」ステートメントを除いて、いくつかの DML および DDL ステートメントも制限したことです。