我是否需要检查 better-sqlite3 命令的绑定参数格式

Do I need to check the format of binding arguments of a better-sqlite3 command

看看这段使用 better-sqlite3:

的代码
router.post('/auth', (req, res) => {
    var rc = req.params('code')
    var code_entry = db.prepare('SELECT * FROM pending_registrations WHERE code = ?').get(rc)
    if (code_entry === undefined) {
        res.send({ success: false })
    }

我是否需要验证 post 查询的 code 参数格式是否正确?如果输入错误,此代码是否可能出现故障?

SQL参数不需要格式化;它们不会插入到查询文本中,而是直接传递给数据库。 (这是处理 blob 的唯一实用方法,它实际上可以包含任何内容。)