tokio-postgres 和数据库查询
tokio-postgres and database query
有这样一个模块代码(用于处理数据库):
use tokio_postgres::{NoTls, Error};
pub async fn hello() -> Result<(), Error> {
// Connect to the database.
let (client, connection) =
tokio_postgres::connect("host=localhost user=postgres", NoTls).await?;
// The connection object performs the actual communication with the database,
// so spawn it off to run on its own.
tokio::spawn(async move {
if let Err(e) = connection.await {
eprintln!("connection error: {}", e);
}
});
// Now we can execute a simple statement that just returns its parameter.
let rows = client
.query("SELECT ::TEXT", &[&"hello world"])
.await?;
// And then check that we got back the same string we sent over.
let value: &str = rows[0].get(0);
assert_eq!(value, "hello world");
Ok(())
}
问题:
在这种情况下,应该如何编写对数据库的访问?
(指南对此没有任何说明 - 或者我没有完全理解它。)
https://docs.rs/tokio-postgres/0.5.5/tokio_postgres/
在这种情况下,什么机制将保护对数据库的访问免受 sql 注入?
需要最简单的通用用例。
client.query(statement, params) 会将第一个参数 statement 转换为准备好的语句并使用 params.
执行它
为了避免 sql 注入,请确保所有用户数据都在第二个 params 参数中传递。
不要这样做:
let id = "SOME DATA FROM THE USER";
let rows = client
.query(format!("SELECT * FROM SomeTable WHERE id = {}", id), &[])
.await?;
这样做:
let id = "SOME DATA FROM THE USER";
let rows = client
.query("SELECT * FROM SomeTable WHERE id = ", &[&id])
.await?;
解释:
在 tokio-postgres 中,大多数客户端方法(query* 或 execute*)可以为 sql 语句接受 &str 或 Statement .如果传递 &str 它将为您创建一个准备好的语句(Statement 对象)。
有这样一个模块代码(用于处理数据库):
use tokio_postgres::{NoTls, Error};
pub async fn hello() -> Result<(), Error> {
// Connect to the database.
let (client, connection) =
tokio_postgres::connect("host=localhost user=postgres", NoTls).await?;
// The connection object performs the actual communication with the database,
// so spawn it off to run on its own.
tokio::spawn(async move {
if let Err(e) = connection.await {
eprintln!("connection error: {}", e);
}
});
// Now we can execute a simple statement that just returns its parameter.
let rows = client
.query("SELECT ::TEXT", &[&"hello world"])
.await?;
// And then check that we got back the same string we sent over.
let value: &str = rows[0].get(0);
assert_eq!(value, "hello world");
Ok(())
}
问题:
在这种情况下,应该如何编写对数据库的访问?
(指南对此没有任何说明 - 或者我没有完全理解它。)
https://docs.rs/tokio-postgres/0.5.5/tokio_postgres/
在这种情况下,什么机制将保护对数据库的访问免受 sql 注入?
需要最简单的通用用例。
client.query(statement, params) 会将第一个参数 statement 转换为准备好的语句并使用 params.
为了避免 sql 注入,请确保所有用户数据都在第二个 params 参数中传递。
不要这样做:
let id = "SOME DATA FROM THE USER";
let rows = client
.query(format!("SELECT * FROM SomeTable WHERE id = {}", id), &[])
.await?;
这样做:
let id = "SOME DATA FROM THE USER";
let rows = client
.query("SELECT * FROM SomeTable WHERE id = ", &[&id])
.await?;
解释:
在 tokio-postgres 中,大多数客户端方法(query* 或 execute*)可以为 sql 语句接受 &str 或 Statement .如果传递 &str 它将为您创建一个准备好的语句(Statement 对象)。