Re: Passing a table as parameter

Поиск

Список

Период

Сортировка

От	Vibhor Kumar
Тема	Re: Passing a table as parameter
Дата	21 марта 2011 г. 20:24:39
Msg-id	D049A134-963B-4482-8DC8-3D366C319E1C@enterprisedb.com обсуждение исходный текст
Ответ на	Re: Passing a table as parameter (Pavel Stehule <pavel.stehule@gmail.com>)
Ответы	Re: Passing a table as parameter (Pavel Stehule <pavel.stehule@gmail.com>)
Список	pgsql-general

Дерево обсуждения

On Mar 22, 2011, at 1:32 AM, Pavel Stehule wrote:

> it can work too, but there is sql injection risk.
>
> Do newer 'SELECT ... FROM ' || tabname || ' ...
>
> Regards
>
> Pavel Stehule

Yes true. Same with the following too:
CREATE FUNCTION foo(tablename text)
RETURNS SETOF text AS $$
BEGIN
RETURN QUERY EXECUTE 'SELECT content FROM ' || quote_ident(tablename);
END;
$$ LANGUAGE plpgsql;

To prevent from sql injection user can try with SQL Protect:
http://www.enterprisedb.com/docs/en/9.0/sqlprotect/Table%20of%20Contents.htm

Thanks & Regards,
Vibhor Kumar
EnterpriseDB Corporation
The Enterprise PostgreSQL Company
vibhor.kumar@enterprisedb.com
Blog:http://vibhork.blogspot.com

В списке pgsql-general по дате отправления:

Предыдущее

От: Aljoša Mohorović
Дата: 21 марта 2011 г., 20:20:23
Сообщение: Re: postgres conferences missing videos?

Следующее

От: Alex
Дата: 21 марта 2011 г., 20:27:39
Сообщение: postgresql install problem

Вход в личный кабинет

Восстановление пароля

Подтверждение аккаунта

Изменение пароля

Re: Passing a table as parameter

Предыдущее

Следующее