【发布时间】:2018-08-07 12:10:15
【问题描述】:
我正在使用 mysql-node:https://github.com/mysqljs/mysql,但我对默认清理有点困惑,Mysql.Escape() 与 Mysql.EscapeId() 以及 ? 与 ?? 的使用。文档说?
默认清理
当您将对象传递给 .escape() 或 .query() 时,将使用 .escapeId() 以避免对象键中的 SQL 注入。
我看到了“对象”一词,这是否意味着我仍然应该逃避这样的查询?
UPDATE table SET updated_at = userInput WHERE name = userInput。
Mysql.Escape() 与 Mysql.EscapeId()
这两个函数有什么区别。文档说 mysql.escape 使用 mysql.escapeId。我知道它们都对输入进行了清理,但是否存在您使用其中一个或另一个的情况?
?与??
文档交替使用? 和??。他们的意思是一样的吗?
【问题讨论】:
标签: node.js node-mysql mysqljs