Mysql参数周围是否需要括号来防止sql注入?
我使用的是nodejs和mysql npm包,我试图从一个表中进行选择,其中其他_文本= 下面是它的外观:Mysql参数周围是否需要括号来防止sql注入?,mysql,node.js,Mysql,Node.js,我使用的是nodejs和mysql npm包,我试图从一个表中进行选择,其中其他_文本= 下面是它的外观: var query = connection.query(`SELECT id FROM ${tableName} WHERE other_text = ?`, attributeName.other_text, function (err, rows) { ... 我用什么读过?将自动转义用户输入的字符串。在我看到的大多数这样做的示例中,查询函数中的第二个参数周围都有括
var query = connection.query(`SELECT id FROM ${tableName} WHERE other_text = ?`,
attributeName.other_text, function (err, rows) {
...
var query = connection.query(`SELECT id FROM ${tableName} WHERE other_text = ?`,
[attributeName.other_text], function (err, rows) {
...
谢谢。括号代表一个数组。如果要在查询中使用更多值,可以使用数组 例如,假设您要从表中选择多个列,并将它们传递给语句,您可以使用如下方式:
connection.query(`SELECT ?? FROM ${tableName}`,
[col1, col2, col3], function (err, rows) {
const tableName = 'users';
const whereCondition = {id: 1};
const whaToUpdate = {name: 'newName'}
const mysql = require('mysql');
const statement = mysql.format('update ?? set ? where ?', [tableName, whaToUpdate , whereCondition]);
connection.query(statement, (error, result, fields) => { });
connection.query(`SELECT ?? FROM ${tableName}`,
[col1, col2, col3], function (err, rows) {
const tableName = 'users';
const whereCondition = {id: 1};
const whaToUpdate = {name: 'newName'}
const mysql = require('mysql');
const statement = mysql.format('update ?? set ? where ?', [tableName, whaToUpdate , whereCondition]);
connection.query(statement, (error, result, fields) => { });
connection.query(`SELECT ?? FROM ${tableName}`,
[col1, col2, col3], function (err, rows) {
const tableName = 'users';
const whereCondition = {id: 1};
const whaToUpdate = {name: 'newName'}
const mysql = require('mysql');
const statement = mysql.format('update ?? set ? where ?', [tableName, whaToUpdate , whereCondition]);
connection.query(statement, (error, result, fields) => { });
它在没有支架的情况下工作吗?@SergioTulentsev是的。我只是担心如果没有括号,它不会逃逸数据。