web-dev-qa-db-ja.com

NodeJS変数をSQLクエリに入力する方法

NodeJS変数を含むSQLクエリを書きたいのですが。これを行うと、「未定義」のエラーが発生します。

以下のSQLクエリでflightNo変数を認識させたい。 NodeJS変数をSQLクエリに入力するにはどうすればよいですか? $?などの特殊文字が必要ですか。

app.get("/arrivals/:flightNo?", cors(), function(req,res){
var flightNo = req.params.flightNo;

connection.query("SELECT * FROM arrivals WHERE flight = 'flightNo'", function(err, rows, fields) {
5
GleneaMan

変数のvalueをSQLステートメントに入れる必要があります。

これは良くありません:

"SELECT * FROM arrivals WHERE flight = 'flightNo'"

これは機能しますが、SQLインジェクション攻撃から安全ではありません。

"SELECT * FROM arrivals WHERE flight = '" + flightNo + "'"

SQLインジェクションから保護するために、次のように値をエスケープできます。

"SELECT * FROM arrivals WHERE flight = '" + connection.escape(flightNo) + "'"

しかし、最善の方法は、パラメータ置換を使用することです。

app.get("/arrivals/:flightNo", cors(), function(req, res) {
  var flightNo = req.params.flightNo;

  var sql = "SELECT * FROM arrivals WHERE flight = ?";
  connection.query(sql, flightNo, function(err, rows, fields) {
  });
});

複数の置換を行う場合は、配列を使用します。

app.get("/arrivals/:flightNo", cors(), function(req, res) {
  var flightNo = req.params.flightNo;
  var minSize = req.query.minSize;

  var sql = "SELECT * FROM arrivals WHERE flight = ? AND size >= ?";
  connection.query(sql, [ flightNo, minSize ], function(err, rows, fields) {
  });
});
8
Dave

> ES6を使用している場合:

connection.query(`SELECT * FROM arrivals WHERE flight = ${flightNo}`, function(err, rows, fields) {

ES6未満の場合:

connection.query("SELECT * FROM arrivals WHERE flight = " + flightNo, function(err, rows, fields) {

SQLインジェクション攻撃に対して脆弱になるため、これは非常に悪い習慣ですであることに注意してください。

1
DeadEye