这种类型的查询对于 sql 注入是安全的吗?
Is this type of query safe from sql injection?
让表名=req.body.tableName
let colName = req.body.col1+","+req.body.col2
sqlString = INSERT INTO ${tableName}(${colName}) VALUES (,) RETURNING *
不,您正在使用 SQL 查询中的用户输入。
使用某种类似 knex 的查询构建器,它有一个内置的方式来正确转义用户的输入。
让表名=req.body.tableName
let colName = req.body.col1+","+req.body.col2
sqlString = INSERT INTO ${tableName}(${colName}) VALUES (,) RETURNING *
不,您正在使用 SQL 查询中的用户输入。
使用某种类似 knex 的查询构建器,它有一个内置的方式来正确转义用户的输入。