https://thedotnetblog.com/it/tags/sql-mcp-server/Articles, tutorials and insights from the .NET community.Hugoit@thedotnetblog (The .NET Blog)@thedotnetblogWed, 03 Jun 2026 00:00:00 +0000https://thedotnetblog.com/it/news/emiliano-montesdeoca/nl2sql-agentic-sql-injection-mcp-server/Wed, 03 Jun 2026 00:00:00 +0000Emiliano Montesdeocahttps://thedotnetblog.com/it/news/emiliano-montesdeoca/nl2sql-agentic-sql-injection-mcp-server/Prima di lasciare che un agente interroghi il tuo database con il linguaggio naturale, leggi questo. NL2SQL sembra semplice finché non rifletti sulla completezza dello schema, l'indeterminismo e cosa risolve realmente SQL MCP Server.<p>C&rsquo;è una versione del discorso su NL2SQL che suona perfetta: gli utenti fanno domande in linguaggio naturale, gli agenti generano SQL, i dati tornano. Meno schermate, meno query, meno codice. Semplice.</p> <p>Poi ci pensi per altri cinque minuti.</p> <h2 id="i-problemi-di-cui-nessuno-parla-nella-demo">I Problemi di cui Nessuno Parla nella Demo</h2> <p><strong>Gli schemi non sono stati progettati per spiegare le cose.</strong> Nomi di tabelle criptici, nomi di colonne incoerenti, relazioni tecnicamente valide ma semanticamente invalide senza predicati aggiuntivi — questo è normale per i database aziendali. Non sono bug, sono semplicemente la storia accumulata dei cambiamenti di business. Ma quando chiedi a un modello di inferire l&rsquo;intento da uno schema che non è stato progettato per comunicare l&rsquo;intento, il modello ci proverà comunque. Non si arrenderà. Genererà la sua migliore query possibile e restituirà risultati con sicurezza.</p> <p><strong>I modelli non sono deterministici.</strong> Fai la stessa domanda sullo stesso database due volte e potresti ottenere SQL diverso. Il modello sta calcolando probabilità, e lievi variazioni nel contesto producono output diversi. Non puoi testare fino ad ottenere la garanzia che l&rsquo;agente generi sempre la query corretta.</p> <p><strong>La revisione dell&rsquo;utente non scala.</strong> &ldquo;Basta rivedere ogni query prima dell&rsquo;esecuzione&rdquo; sembra sicuro. Ma presuppone che gli utenti siano esperti sia nel modello di dati che in SQL — esattamente le persone che non avevano bisogno dell&rsquo;interfaccia in linguaggio naturale. Introduce anche sovraccarico cognitivo e una nuova classe di bias di conferma, dove gli utenti sopraffatti dalla complessità della query approvano query non valide invece di investigarle.</p> <p><strong>E poi c&rsquo;è l&rsquo;injection.</strong> Nello sviluppo SQL tradizionale, la parametrizzazione ha risolto l&rsquo;injection perché l&rsquo;input dell&rsquo;utente riempiva i parametri, non la struttura SQL. Con NL2SQL, il modello genera il SQL stesso. Il prompt, il contesto dello schema, la cronologia della conversazione e i dati recuperati influenzano tutti ciò che viene eseguito. Se qualcuno elabora un prompt che cambia ciò che il modello genera, questa è injection — non a livello di parametro, ma a livello di generazione di query. E a differenza dell&rsquo;eliminazione di una tabella (ovvio, recuperabile), l&rsquo;injection NL2SQL produce query che restituiscono risultati errati senza errori visibili. Le decisioni aziendali vengono prese su dati sbagliati.</p> <h2 id="cosa-risolve-realmente-sql-mcp-server">Cosa Risolve Realmente SQL MCP Server</h2> <p>È qui che l&rsquo;articolo fa il suo punto pratico più utile. Invece di dare a un agente accesso arbitrario allo schema e sperare nel meglio, SQL MCP Server espone una <strong>superficie API curata</strong> costruita su <a href="https://learn.microsoft.com/en-us/azure/data-api-builder/overview">Data API builder</a>.</p> <p>La differenza è importante: l&rsquo;agente non genera SQL. Chiama endpoint denominati che restituiscono forme di risultato predefinite. Il SQL viene scritto una volta, da uno sviluppatore, ed è deterministico. Il non-determinismo dell&rsquo;agente è limitato alla scelta di <em>quale</em> endpoint chiamare, non alla costruzione di query arbitrarie.</p> <p>Questo è analogo a ciò che la parametrizzazione ha fatto per l&rsquo;injection SQL nel modello di app tradizionale — rimuovi la capacità di costruire query arbitrarie dall&rsquo;input non attendibile.</p> <h2 id="la-domanda-giusta">La Domanda Giusta</h2> <p>L&rsquo;articolo non dice &ldquo;non usare mai NL2SQL.&rdquo; Dice: sii deliberato su <em>dove</em> lo applichi e <em>cosa</em> esponi. Per l&rsquo;analisi esplorativa in un ambiente controllato, con uno schema limitato e accesso in sola lettura, NL2SQL potrebbe andare bene. Per i sistemi di produzione dove le decisioni aziendali dipendono dai risultati, un livello API curato è significativamente più sicuro.</p> <p>Onestà: alcuni problemi si risolvono genuinamente meglio con query strutturate dietro endpoint denominati che con il linguaggio naturale verso SQL. SQL MCP Server ti dà questa opzione senza abbandonare completamente l&rsquo;interfaccia agentiva.</p> <p>Post originale: <a href="https://devblogs.microsoft.com/azure-sql/sql-mcp-server-nl2sql/">Considering NL2SQL? Should your database really be the prompt? How can SQL MCP Server help?</a></p>