如何将 NodeJS 变量输入 SQL 查询
How to input a NodeJS variable into an SQL query
我想编写一个包含 NodeJS 变量的 SQL 查询。当我这样做时,它给我一个 'undefined'.
的错误
我希望下面的 SQL 查询能够识别 flightNo 变量。如何将 NodeJS 变量输入到 SQL 查询中?它周围是否需要特殊字符,如 $ 或 ?.
app.get("/arrivals/:flightNo?", cors(), function(req,res){
var flightNo = req.params.flightNo;
connection.query("SELECT * FROM arrivals WHERE flight = 'flightNo'", function(err, rows, fields) {
如果您使用 > ES6 :
connection.query(`SELECT * FROM arrivals WHERE flight = ${flightNo}`, function(err, rows, fields) {
如果你 < ES6 :
connection.query("SELECT * FROM arrivals WHERE flight = " + flightNo, function(err, rows, fields) {
请注意,这是非常糟糕的做法,因为您很容易受到 SQL 注入攻击。
您需要将变量的 值 放入 SQL 语句中。
这不行:
"SELECT * FROM arrivals WHERE flight = 'flightNo'"
这会起作用,但它在 SQL 注入攻击中并不安全:
"SELECT * FROM arrivals WHERE flight = '" + flightNo + "'"
为了避免 SQL 注入,您可以像这样转义您的值:
"SELECT * FROM arrivals WHERE flight = '" + connection.escape(flightNo) + "'"
但最好的方法是使用参数替换:
app.get("/arrivals/:flightNo", cors(), function(req, res) {
var flightNo = req.params.flightNo;
var sql = "SELECT * FROM arrivals WHERE flight = ?";
connection.query(sql, flightNo, function(err, rows, fields) {
});
});
如果要进行多个替换,请使用数组:
app.get("/arrivals/:flightNo", cors(), function(req, res) {
var flightNo = req.params.flightNo;
var minSize = req.query.minSize;
var sql = "SELECT * FROM arrivals WHERE flight = ? AND size >= ?";
connection.query(sql, [ flightNo, minSize ], function(err, rows, fields) {
});
});
我想编写一个包含 NodeJS 变量的 SQL 查询。当我这样做时,它给我一个 'undefined'.
的错误我希望下面的 SQL 查询能够识别 flightNo 变量。如何将 NodeJS 变量输入到 SQL 查询中?它周围是否需要特殊字符,如 $ 或 ?.
app.get("/arrivals/:flightNo?", cors(), function(req,res){
var flightNo = req.params.flightNo;
connection.query("SELECT * FROM arrivals WHERE flight = 'flightNo'", function(err, rows, fields) {
如果您使用 > ES6 :
connection.query(`SELECT * FROM arrivals WHERE flight = ${flightNo}`, function(err, rows, fields) {
如果你 < ES6 :
connection.query("SELECT * FROM arrivals WHERE flight = " + flightNo, function(err, rows, fields) {
请注意,这是非常糟糕的做法,因为您很容易受到 SQL 注入攻击。
您需要将变量的 值 放入 SQL 语句中。
这不行:
"SELECT * FROM arrivals WHERE flight = 'flightNo'"
这会起作用,但它在 SQL 注入攻击中并不安全:
"SELECT * FROM arrivals WHERE flight = '" + flightNo + "'"
为了避免 SQL 注入,您可以像这样转义您的值:
"SELECT * FROM arrivals WHERE flight = '" + connection.escape(flightNo) + "'"
但最好的方法是使用参数替换:
app.get("/arrivals/:flightNo", cors(), function(req, res) {
var flightNo = req.params.flightNo;
var sql = "SELECT * FROM arrivals WHERE flight = ?";
connection.query(sql, flightNo, function(err, rows, fields) {
});
});
如果要进行多个替换,请使用数组:
app.get("/arrivals/:flightNo", cors(), function(req, res) {
var flightNo = req.params.flightNo;
var minSize = req.query.minSize;
var sql = "SELECT * FROM arrivals WHERE flight = ? AND size >= ?";
connection.query(sql, [ flightNo, minSize ], function(err, rows, fields) {
});
});