Comment saisir un NodeJS variable dans une requête SQL

Je veux écrire une requête SQL qui contient un NodeJS variable. Quand je fais cela, il me donne une erreur de 'undefined'.

Je veux la requête SQL ci-dessous pour reconnaître la flightNo variable. Comment un NodeJS variable d'entrée dans une requête SQL? Est-il besoin de caractères spéciaux autour d'elle $ ou ?.

app.get("/arrivals/:flightNo?", cors(), function(req,res){
var flightNo = req.params.flightNo;

connection.query("SELECT * FROM arrivals WHERE flight = 'flightNo'", function(err, rows, fields) {
InformationsquelleAutor GleneaMan | 2016-12-15
  1. 12

    Vous aurez besoin de mettre de la valeur de la variable dans l'instruction SQL.

    Ce n'est pas bon:

    "SELECT * FROM arrivals WHERE flight = 'flightNo'"

    Cela va fonctionner, mais il n'est pas sûr d'attaques par injection SQL:

    "SELECT * FROM arrivals WHERE flight = '" + flightNo + "'"

    Pour être à l'abri de l'injection SQL, vous pouvez échapper à votre valeur comme ceci:

    "SELECT * FROM arrivals WHERE flight = '" + connection.escape(flightNo) + "'"

    Mais la meilleure façon est avec le paramètre de substitution:

    app.get("/arrivals/:flightNo", cors(), function(req, res) {
  var flightNo = req.params.flightNo;

  var sql = "SELECT * FROM arrivals WHERE flight = ?";
  connection.query(sql, flightNo, function(err, rows, fields) {
  });
});

    Si vous avez plusieurs substitutions de fabriquer, d'utiliser un tableau:

    app.get("/arrivals/:flightNo", cors(), function(req, res) {
  var flightNo = req.params.flightNo;
  var minSize = req.query.minSize;

  var sql = "SELECT * FROM arrivals WHERE flight = ? AND size >= ?";
  connection.query(sql, [ flightNo, minSize ], function(err, rows, fields) {
  });
});
    • Dois-je utiliser la connexion.s'échapper, même lorsque je veux utiliser "INSÉRER DANS la table" commande ? Donc, il devrait être comme ceci: "INSERT INTO table VALUES ('" + connexion.escape(flightNo) + "'")"
    • Vous devez vous protéger contre les injections SQL avec chaque requête. Mieux utiliser connection.query('INSERT INTO table VALUES (?)', flightNo, function(err, result) { });
    • C'est de cette façon le fais: var sql = "INSERT INTO admins VALEURS(null, '" + adminUser +"', '" + adminPass + "', '" + adminName + "' , '"+ adminSurname +"') "; con.requête(sql,la fonction(erreur, les lignes, les champs){ if(!!d'erreur) { console.log ("Échec de la Requête' + erreur.message); } else { console.log ("Requête Réussie"); console.journal(les lignes.insertId); next(); } });
    • Vous devez être échapper à ces valeurs. Je le ferais avec le paramètre de substitution: en partage de code.io/2WbdvY
    InformationsquelleAutor Dave
  2. 1

    Si vous utilisez > ES6 :

    connection.query(`SELECT * FROM arrivals WHERE flight = ${flightNo}`, function(err, rows, fields) {

    Si vous < ES6 :

    connection.query("SELECT * FROM arrivals WHERE flight = " + flightNo, function(err, rows, fields) {

    Veuillez noter que c'est une TRÈS MAUVAISE pratique que vous serez vulnérable à des attaques par injection SQL.

    InformationsquelleAutor DeadEye