node mysql查詢語句的坑

又是被查詢語句弄死的一天。。。

項(xiàng)目做一個(gè)登陸,一直查不出用戶數(shù)據(jù),不知道查詢語句哪里有問題。

var userName = req.param('userName')? ?// 獲取前臺(tái)傳過來的userName值

1.let sql =? `select * from user where userName = ${userName} `? ?//查不到

2. let sql =? 'select * from user where userName = userName'? //查不到? ?

3. let sql = 'select * from user where userName = "' + userName + '"'? //查到了

4. let sql =? 'select * from user where userName = ?'

pool.query(sql,[userName],(err, result) => {}? ? ? //查到了。。。? ? ? ? ?

總結(jié):前端傳來的數(shù)據(jù)如果是字符串放到sql語句中需要拼接字符串,但拼接字符串比較繁瑣容易拼錯(cuò),二是容易造成sql注入攻擊。建議使用上述第4種查詢方式,也就是占位符注入查詢的查詢方式。

參考:https://www.jb51.net/article/107441.htm

?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時(shí)請(qǐng)結(jié)合常識(shí)與多方信息審慎甄別。
平臺(tái)聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點(diǎn),簡(jiǎn)書系信息發(fā)布平臺(tái),僅提供信息存儲(chǔ)服務(wù)。

相關(guān)閱讀更多精彩內(nèi)容

友情鏈接更多精彩內(nèi)容