Это хорошая практика, чтобы написать сырой SQL-запрос в Nodejs?

Question

Это хорошая практика, чтобы написать сырой SQL-запрос в Nodejs?

0

Необработанный sql-запрос, как в:

var sql = "update node SET changed = " + params.updationTime + " where nid = " + params.nid

Рекомендуется ли писать сырой sql-запрос в нашем.js файле? Мы склонны к любой SQL-инъекции? Или будет лучше использовать библиотеку, такую как Knex.js?

Wakaka123 21 май 2018, в 13:10

Источник

0

сырой запрос, как указано выше, будет склонен к внедрению SQL
Tuan Anh Tran 21 май 2018, в 10:54
0

будет ли knex лучше в этом случае?
Wakaka123 21 май 2018, в 10:57
0

ты пробовал цитаты
owaishanif786 23 май 2018, в 12:44

Показать ещё 1 комментарий

Теги:

mysql

node.js

3 ответа

Ещё вопросы

сырой запрос, как указано выше, будет склонен к внедрению SQL

verymadmango · Answer 1 · 2018-05-21T13-36-00.000Z

Позвольте базе данных обрабатывать и хранить логику базы данных, использовать хранимые процедуры.

Hoàng Đăng · Answer 2 · 2018-05-21T09-09-00.000Z

Лучше использовать ORM(Object Relational Mapping) вместо Raw-запроса, но когда запрос усложняется, вы должны использовать необработанный запрос и опасаться SQL injection.

owaishanif786 · Answer 3 · 2018-05-21T09-02-00.000Z

Sequelize - хороший ORM для узла и mysql. Однако, если для приложения требуется один или два запроса, вы можете избежать своих переменных. Кроме того, переменные шаблонов литералов будут более чистыми, чем старый метод конкатенации строк.

var sql = 'update node SET changed ${params.updationTime} where nid = ${params.nid}'

Согласно документам драйвера mysql

Чтобы избежать атак SQL Injection, вы всегда должны избегать любых предоставленных пользователем данных, прежде чем использовать их в SQL-запросе. Вы можете сделать это, используя mysql.escape(), connection.escape() или pool.escape()

 var sql = 'update node SET changed ${mysql.escape(params.updationTime)} where nid = ${mysql.escape(params.nid)}'