https://thedotnetblog.com/ru/tags/sql-mcp-server/Articles, tutorials and insights from the .NET community.Hugoru@thedotnetblog (The .NET Blog)@thedotnetblogWed, 03 Jun 2026 00:00:00 +0000https://thedotnetblog.com/ru/news/emiliano-montesdeoca/nl2sql-agentic-sql-injection-mcp-server/Wed, 03 Jun 2026 00:00:00 +0000Emiliano Montesdeocahttps://thedotnetblog.com/ru/news/emiliano-montesdeoca/nl2sql-agentic-sql-injection-mcp-server/Прежде чем позволить агенту запрашивать вашу базу данных на естественном языке, прочитайте это. NL2SQL выглядит простым, пока вы не задумаетесь о полноте схемы, недетерминизме и о том, что на самом деле решает SQL MCP Server.<p>Есть версия предложения NL2SQL, которая звучит идеально: пользователи задают вопросы на естественном языке, агенты генерируют SQL, данные возвращаются. Меньше экранов, меньше запросов, меньше кода. Просто.</p> <p>Потом вы думаете об этом ещё пять минут.</p> <h2 id="проблемы-о-которых-никто-не-говорит-на-демо">Проблемы, о которых никто не говорит на демо</h2> <p><strong>Схемы не были созданы для объяснения вещей.</strong> Криптические имена таблиц, непоследовательные имена столбцов, технически допустимые связи, которые семантически недопустимы без дополнительных предикатов — это нормально для корпоративных баз данных. Это не баги, это просто накопленная история бизнес-изменений. Но когда вы просите модель вывести намерение из схемы, которая не была создана для передачи намерения, модель попробует в любом случае. Она не сдастся. Она сгенерирует свой лучший вариант запроса и вернёт результаты с уверенностью.</p> <p><strong>Модели недетерминированы.</strong> Задайте один и тот же вопрос об одной базе данных дважды, и вы можете получить разный SQL. Модель вычисляет вероятности, и небольшие вариации в контексте дают разные результаты. Вы не можете тестированием добиться гарантии, что агент всегда генерирует правильный запрос.</p> <p><strong>Пользовательская проверка не масштабируется.</strong> &ldquo;Просто проверяйте каждый запрос перед выполнением&rdquo; звучит безопасно. Но это предполагает, что пользователи являются экспертами как в модели данных, так и в SQL — именно те люди, которым не нужен был интерфейс на естественном языке. Это также вводит когнитивную перегрузку и новый класс предвзятости подтверждения, где пользователи, перегруженные сложностью запроса, утверждают недействительные запросы вместо того, чтобы их исследовать.</p> <p><strong>И затем есть инъекция.</strong> В традиционной разработке SQL параметризация решала проблему инъекции, потому что пользовательский ввод заполнял параметры, а не структуру SQL. С NL2SQL модель сама генерирует SQL. Подсказка, контекст схемы, история разговора и полученные данные — всё влияет на то, что выполняется. Если кто-то создаёт подсказку, которая изменяет то, что генерирует модель, это инъекция — не на уровне параметра, а на уровне генерации запроса. И в отличие от удаления таблицы (очевидно, восстановимо), инъекция NL2SQL производит запросы, возвращающие неверные результаты без видимой ошибки. Бизнес-решения принимаются на основе неверных данных.</p> <h2 id="что-на-самом-деле-решает-sql-mcp-server">Что на самом деле решает SQL MCP Server</h2> <p>Именно здесь статья делает свой самый полезный практический вывод. Вместо того чтобы давать агенту произвольный доступ к схеме и надеяться на лучшее, SQL MCP Server предоставляет <strong>курируемую поверхность API</strong>, построенную на основе <a href="https://learn.microsoft.com/en-us/azure/data-api-builder/overview">Data API builder</a>.</p> <p>Разница важна: агент не генерирует SQL. Он вызывает именованные конечные точки, которые возвращают предопределённые формы результатов. SQL пишется один раз, разработчиком, и является детерминированным. Недетерминизм агента ограничен выбором <em>какую</em> конечную точку вызвать, а не построением произвольных запросов.</p> <p>Это аналогично тому, что параметризация сделала с SQL-инъекцией в традиционной модели приложений — вы убираете возможность создавать произвольные запросы из ненадёжного ввода.</p> <h2 id="правильный-вопрос">Правильный вопрос</h2> <p>Статья не говорит &ldquo;никогда не используйте NL2SQL.&rdquo; Она говорит: будьте целенаправленны в том, <em>где</em> вы применяете его и <em>что</em> вы открываете. Для исследовательского анализа в контролируемой среде, с ограниченной схемой и доступом только для чтения, NL2SQL может подойти. Для производственных систем, где бизнес-решения зависят от результатов, курируемый уровень API значительно безопаснее.</p> <p>Честность: некоторые проблемы действительно лучше решаются структурированными запросами за именованными конечными точками, чем естественным языком в SQL. SQL MCP Server даёт вам эту возможность, не отказываясь полностью от агентного интерфейса.</p> <p>Оригинальная публикация: <a href="https://devblogs.microsoft.com/azure-sql/sql-mcp-server-nl2sql/">Considering NL2SQL? Should your database really be the prompt? How can SQL MCP Server help?</a></p>