tableau javascript comme une liste de chaînes de caractères (en conservant les guillemets)

J'ai un tableau de chaînes de caractères. Lorsque j'utilise .toString() pour la sortie il les guillemets ne sont pas conservées. Cela rend difficile de construire la requête mysql à l'aide d'un "in". Considérez les points suivants:

SELECT * FROM Table WHERE column IN ('item1','item2','item3','item4')

toString is returning: IN (item1,item2,item3,item4)

Il doit y avoir une solution simple je suis surplombant ici.

  • Vous êtes à la préparation d'une requête MySQL en JavaScript? ... mmm ... d'injection SQL
  • êtes-vous à l'aide de javascript côté serveur?
  • Oui, sauf si cette juste un prototype rapide, vous devez être conscient que la formation SQL sur le client est essentiellement de permettre à toute personne un accès complet à votre base de données. N'a pas d'importance si c'est plus de HTTPs, l'utilisateur peut simplement ouvrir le débogueur et de les injecter à l'écart.
  • Désolé de gâcher votre plaisir sur l'injection sql. J'ai un interne de recherche de texte intégral de la pile qui est de retour pour moi indices de disques que j'ai besoin de recherche dans mysql. Node_Mysql a un bug qui empêche de tableaux à partir bien passé donc je cherchais un travail autour de. J'ai fini par trouver un patch qui a juste pas encore trouvé son chemin à la base: github.com/felixge/node-mysql/issues/126
InformationsquelleAutor Anthony Webb | 2011-12-13
  1. 63

    Les guillemets ne sont pas conservés parce qu'ils ne sont pas réellement partie de la chaîne de valeur, ils sont juste nécessaire d'indiquer les littéraux de chaîne dans votre code.

    Donc, ne pas utiliser de toString(). Au lieu de cela, une façon de le faire est comme suit:

    var arr = ['item1','item2','item3','item4'];

var quotedAndCommaSeparated = "'" + arr.join("','") + "'";

//quotedAndCommaSeparated === "'item1','item2','item3','item4'"

    La Tableau.join() méthode renvoie une chaîne qui est l'ensemble des éléments du tableau concaténées dans une chaîne unique avec un (option) séparateur entre chaque élément. Donc, si vous spécifiez un séparateur qui comprend les guillemets et les virgules, vous avez juste à ajouter manuellement de début et de fin devis pour le premier et le dernier élément (respectivement).

    (Et veuillez dites-moi, vous n'êtes pas à l'aide de JavaScript côté client pour la forme de votre SQL.)

    EDIT: pour permettre un tableau vide, ajouter une valeur par défaut pour la suite de la chaîne, sinon (comme l'a souligné missingno), la chaîne serait "''":

    var newString = arr.length === 0 ? "" : "'" + arr.join("','") + "'";
//default for empty array here ---^^

    (Peut-être plus approprié d'avoir une if (arr.length===0) à prendre une autre action plutôt que de l'exécution de l'instruction SELECT.)

    • Merci pour la suggestion. Et non, je ne suis pas à construire un pot de miel pour ceux sql injection de rats à venir exploiter.
    • Quel devrait être le comportement correct avec un tableau vide? Laissez des guillemets vides ("''") ou une chaîne vide? ("")
    • Bon point. Je ne suis pas sûr de ce qui serait nécessaire étant donné le résultat s'concaténées dans une chaîne SQL - peut-être mieux de ne pas exécuter l'instruction SELECT à tous. Toujours, facile à fixer - je vais mettre à jour ma réponse...
    • J'ai passé 2 heures et cette réponse était tellement proche de ce dont j'avais besoin lol -- de toute façon, j'essayais de conserver les guillemets à partir d'un tableau, afin que je puisse mettre le tout dans le format CSV et de l'utilisation des virgules pour une partie du texte. Je l'ai obtenu par l'utilisation de ce: csv += '"' + ligne.rejoindre('","') + '"';
    InformationsquelleAutor nnnnnn
  2. 5

    La solution simple est d'ajouter les guillemets vous

    for(var i=0; i<items.length; i++){
    items[i] = "'" + items[i] + "'";
}

var list_with_quotes = items.join(",");

    Ne remarque que je suis entièrement d'ignorer l'injection SQL questions ici.

    InformationsquelleAutor hugomg
  3. 1

    Utilisation Array.map à enrouler chaque élément avec des guillemets:

    items.map(function(item) { return "'" + item + "'" }).join(',');

    Le code devient plus simple avec ES6 caractéristiques - flèche fonctions et les chaînes du modèle (mise en œuvre en node.js 4.0 et supérieur):

    items.map(i => `'${i}'`).join(',');

    Vous pouvez également utiliser la liste blanche pour empêcher les injections SQL:

    const validItems = new Set(['item1', 'item2', 'item3', 'item4']);

items
   .filter(i => validItems.has(i))
   .map(i => `'${i}'`)
   .join(',')
    InformationsquelleAutor Lukasz Wiktor
  4. 0
    let keys = ['key1','key2']
let keyWithQoutes = keys.map((it) => {return `'${it}'`})
let sql = `SELECT .... FROM ... WHERE id IN (${keyWithQoutes})`
console.log(sql)

    de sortie: "SELECT .... FROM ... where id IN ('cle1','cle2')"

    InformationsquelleAutor Chakphanu Komasathit
  5. -2

    Stocker les citations:

    var names = ["'item1'","'item1'","'item3'"];
alert('IN (' + names[1] + ')'); //IN ('item1')
    InformationsquelleAutor RobG