如何在SQL查询中输入NodeJS变量

bvn4nwqk 于 2023-04-29 发布在 Node.js

关注(0)|答案(2)|浏览(180)

我想写一个包含NodeJS变量的SQL查询。当我这样做的时候，它给了我一个“未定义”的错误。
我希望下面的SQL查询能够识别flightNo变量。如何将NodeJS变量输入到SQL查询中？它周围是否需要特殊字符，如$或?。

app.get("/arrivals/:flightNo?", cors(), function(req,res){
var flightNo = req.params.flightNo;

connection.query("SELECT * FROM arrivals WHERE flight = 'flightNo'", function(err, rows, fields) {

node.js

来源：https://stackoverflow.com/questions/41168942/how-to-input-a-nodejs-variable-into-an-sql-query

2条答案

按热度按时间

9gm1akwq1#

您需要将变量的值放入SQL语句中。
这是不好的：

"SELECT * FROM arrivals WHERE flight = 'flightNo'"

这将工作，但它不安全的SQL注入攻击：

"SELECT * FROM arrivals WHERE flight = '" + flightNo + "'"

为了避免SQL注入，你可以像这样转义你的值：

"SELECT * FROM arrivals WHERE flight = '" + connection.escape(flightNo) + "'"

但最好的方法是使用参数替换：

app.get("/arrivals/:flightNo", cors(), function(req, res) {
  var flightNo = req.params.flightNo;

  var sql = "SELECT * FROM arrivals WHERE flight = ?";
  connection.query(sql, flightNo, function(err, rows, fields) {
  });
});

如果要进行多个替换，请使用数组：

app.get("/arrivals/:flightNo", cors(), function(req, res) {
  var flightNo = req.params.flightNo;
  var minSize = req.query.minSize;

  var sql = "SELECT * FROM arrivals WHERE flight = ? AND size >= ?";
  connection.query(sql, [ flightNo, minSize ], function(err, rows, fields) {
  });
});

赞(0）回复(0）举报 2023-04-29

q0qdq0h22#

在ES6中，你可以使用${expression}的模板文字。
Template literals是用反勾（`）字符分隔的文字，允许使用多行字符串和表达式插值。
像这样使用：

connection.query(`
SELECT * 
FROM arrivals 
WHERE flight = ${flightNo}
`, //rest of your code

赞(0）回复(0）举报 2023-04-29

我来回答

如何在SQL查询中输入NodeJS变量

2条答案

相关问题

热门标签

最新问答