如何在SQL查询中输入NodeJS变量
我想编写一个包含NodeJS变量的SQL查询。当我这样做时,它给我一个错误“未定义”。
我希望下面的SQL查询能够识别该flightNo变量。如何将NodeJS变量输入到SQL查询中?它周围是否需要特殊字符,例如$或?。
app.get("/arrivals/:flightNo?", cors(), function(req,res){var flightNo = req.params.flightNo;
connection.query("SELECT * FROM arrivals WHERE flight = 'flightNo'", function(err, rows, fields) {
回答:
您将需要将变量的 放入SQL语句中。
这不好:
"SELECT * FROM arrivals WHERE flight = 'flightNo'"这将起作用,但是从SQL注入攻击中并不安全:
"SELECT * FROM arrivals WHERE flight = '" + flightNo + "'"为了防止SQL注入,您可以像这样转义您的价值:
"SELECT * FROM arrivals WHERE flight = '" + connection.escape(flightNo) + "'"但是最好的方法是使用参数替换:
app.get("/arrivals/:flightNo", cors(), function(req, res) { var flightNo = req.params.flightNo;
var sql = "SELECT * FROM arrivals WHERE flight = ?";
connection.query(sql, flightNo, function(err, rows, fields) {
});
});
如果要进行多个替换,请使用数组:
app.get("/arrivals/:flightNo", cors(), function(req, res) { var flightNo = req.params.flightNo;
var minSize = req.query.minSize;
var sql = "SELECT * FROM arrivals WHERE flight = ? AND size >= ?";
connection.query(sql, [ flightNo, minSize ], function(err, rows, fields) {
});
});
以上是 如何在SQL查询中输入NodeJS变量 的全部内容, 来源链接: utcz.com/qa/421468.html
![如何在Go中将[]byte转换为io.Reader](/wp-content/uploads/thumbs/266064_thumbnail.jpg)
