我是否需要检查 better-sqlite3 命令的绑定参数格式
Do I need to check the format of binding arguments of a better-sqlite3 command
看看这段使用 better-sqlite3
:
的代码
router.post('/auth', (req, res) => {
var rc = req.params('code')
var code_entry = db.prepare('SELECT * FROM pending_registrations WHERE code = ?').get(rc)
if (code_entry === undefined) {
res.send({ success: false })
}
我是否需要验证 post 查询的 code
参数格式是否正确?如果输入错误,此代码是否可能出现故障?
SQL参数不需要格式化;它们不会插入到查询文本中,而是直接传递给数据库。 (这是处理 blob 的唯一实用方法,它实际上可以包含任何内容。)
看看这段使用 better-sqlite3
:
router.post('/auth', (req, res) => {
var rc = req.params('code')
var code_entry = db.prepare('SELECT * FROM pending_registrations WHERE code = ?').get(rc)
if (code_entry === undefined) {
res.send({ success: false })
}
我是否需要验证 post 查询的 code
参数格式是否正确?如果输入错误,此代码是否可能出现故障?
SQL参数不需要格式化;它们不会插入到查询文本中,而是直接传递给数据库。 (这是处理 blob 的唯一实用方法,它实际上可以包含任何内容。)