Обмислете използването на dymanic SQL за създаване на потребител. Например, за да създадете сървър за влизане, наречен @login
с потребител на база данни, наречен 'DEV' + @login
:
create procedure dbo.CreateLoginAndUser(
@login varchar(100),
@password varchar(100),
@db varchar(100))
as
declare @safe_login varchar(200)
declare @safe_password varchar(200)
declare @safe_db varchar(200)
set @safe_login = replace(@login,'''', '''''')
set @safe_password = replace(@password,'''', '''''')
set @safe_db = replace(@db,'''', '''''')
declare @sql nvarchar(max)
set @sql = 'use ' + @safe_db + ';' +
'create login ' + @safe_login +
' with password = ''' + @safe_password + '''; ' +
'create user DEV' + @safe_login + ' from login ' + @safe_login + ';'
exec (@sql)
go
Може да е по-лесно да конструирате SQL оператора от страна на клиента. Но дори и тогава не можете да използвате параметри с create login
изявление. Така че бъдете нащрек относно SQL инжектирането.