NodeJS搭建简易的后台服务（连接MSSQL数据库）

一、环境搭建

去官网 NodeJS下载，这个同时还附带好用的包管理器NPM，方便后续下载管理各种包。

一路安装完毕后，我们来创建自己的第一个应用。NodeJS是在服务器上执行的JS脚本，因此语法和原生JS一致，很方便上手。

 

二、创建应用

首先需要创建一个Main.js，这个是主文件，运行时需在CMD中运行 node main （注意，nodejs不含热更新，每次修改后需要结束命令后重新执行）

 main.js

let config = require('./config') //这里引入数据库连接所需要的配置文件
const sql = require('mssql') //引入数据库模块，需要额外安装
let express = require('express') 
let app = express() //引入创建express框架，创建服务，需额外安装
let bodyParser = require('body-parser')
let multer = require('multer')
let formData = multer() //中间件模块，能够解析前端传递过来的数据，需额外安装
const Login = require('./API/Login/Login')
const Asset = require('./API/Asset/GetList') //这里是传递的组件，如果有用vue开发的话，应该对这个引入方法不陌生（import变成require）
console.log(Asset.testFun('你好', '我的朋友'))

const appPool = new sql.ConnectionPool(config) //使用该配置，创建一个连接池

app.use(bodyParser.json()) //使用中间件进行数据解析

app.all('*', function (req, res, next) { 
    res.header('Access-Control-Allow-Origin', '*') //设置回应头，这里是允许跨域，所有IP均允许
    res.header('Access-Control-Allow-Headers', 'content-type')
    res.header('Access-Control-Allow-Methods', 'DELETE,PUT,POST,GET,OPTIONS')
    if (req.method.toLowerCase() === 'options') res.sendStatus(200)
    else next()
})

app.post('/test', formData.array(), (req, res) => {
    //req.body是前端获取到的数据，这里同样可以创建新的数据库连接
    const testConn = new sql.ConnectionPool(testCon)
    console.log(`${req.body.Age}`)
    testConn.connect().then(pool => {
        pool.query(`select ${req.body.Age}`).then(result => {
            console.log(result.recordset) //recordset是获得的结果集，若是有多条查询语句，则只获得第一个。想要获取全部请用recordsets
        }).catch(err => console.log(err))
    }).catch(Err => console.log(Err))
})

app.post('/Login', formData.array(), (req, res) => {
    Login.Login(req, res)
})

//创建成功后，在组件内调用数据库连接为 req.app.locals.db.query("……") 
appPool.connect().then(function (pool) {
    app.locals.db = pool
    const server = app.listen(8081, '127.0.0.1', function () {
        let host = server.address().address //这里因为是本机调试，因此监听的是本地地址。发布后请调整为服务器地址
        let port = server.address().port
        console.log("应用实例，访问地址为http://%s:%s", host, port)
    })
}).catch(err => console.log('连接到数据库失败', err))

这是主文件，后续其余接口都在各自的js内编写然后在此处引入，并监听对应地址，调用指定模块。使用res.send(data)来给前端传递数据

 

三、存在的问题

1.Q：如何处理SQL注入问题？ A：不需要！

该模块自带防注入功能。如果需要严谨，请用

            req.app.locals.db.request()
                .input('AgeQ', sql.Int, req.body.Age)
                .input('UserNameQ', sql.VarChar, req.body.UserName)
                .query('select * from UserInfo where Age = @AgeQ and UserName = @UserNameQ')

这里的input会严格控制输入参数的类型，若是不指定数据类型，则会自动变换。

但是它不会返回给你一个值让你知道这个参数合不合法。因此请酌情使用。

2.Q：如何处理参数缺省？ A：循环判断。

缺省，也就是前端查询时未提供该条件（或者是传递空字符串），需要设定的默认参数。因为最终执行的语句是字符串，因此我们可以先做一个循环判断，最后拼接起来。

let sql = ''
for (let k in req.body) {
    let str = (req.body[k] === '') ? '' : ' and ' + `${k} = ` + req.body[k]
    sql += str
}

若该条件为空，则拼接''，否则拼接为一个查询条件。最终将其插入到查询语句中。此处用splice去除掉第一个'and'

            let querySql = `select *
                            from TB_Asset
                            where ${sql.slice(4)}
                            order by OperationTime desc`

3.Q：字符串拼接会导致SQL注入，如何避免？ A：没找到好办法。

网上用mysql的比较多，但也都没提到这类情况（大家都是sql数据库，用的都是js语法，架构应该大同小异，所以不至于存在什么独有的处理方法吧，大概）

就像上面说的，无论是直接query(……)执行，抑或是通过input的类型判断，只要是将参数直接传入到query方法中的话，mssql都会自行判断（譬如你传递一个 15 or 1=1，或者 15; drop database xxx）

会报错，并中断执行。

所以个人使用的是对传入字符串做判断 indexOF(' or') || indexOF(';') ，若是返回不为-1，则直接将该参数作空。因为大概sql注入就这两种情况吧。

 

四、注意

1、在一切可能抛出异常的地方，请用catch捕获异常。若不捕获，那么报错时，会导致nodejs直接中断！