pqsql 防注入

在数据库查询时经常会遇到根据传入的参数查询内容的情况,传入的参数有可能会带有恶意代码,比如or 1=1,这样where判断为true,就会返还所有的记录。为了解决这个问题,可以在参数外面包一层单引号,pgsql有扩展包pg-promise来解决,使用方式如下:

import * as PostgresUtil from 'pg-promise'

PostgresUtil.as.format('table_a.name = $1 AND table_a.josndata = $2', ['Tom', {age: 100}]) 
// table_a.name = 'Tom' AND table_a.josndata = '{\"age\": 100}'

可以看到返回的sql语句中参数是增加了单引号的

posted @ 2018-09-27 15:05  zxhyJack  阅读(270)  评论(0编辑  收藏  举报