MySQL NodeJS 准备好插入或更新表名的语句？

Question

这是我要执行的代码：

connection.query({
sql: 'CREATE TABLE ? ( `wage` FLOAT NOT NULL , `monday` FLOAT NOT NULL , `tuesday` FLOAT NOT NULL , `wednesday` FLOAT NOT NULL , `thursday` FLOAT NOT NULL , `friday`) ENGINE = InnoDB;',
timeout: 40000, // 40s
},
//[arg1],
function (error, results, fields) {

if (error) {
console.log("Table creation failed");
}else{
console.log("Table creation success");
}

}

);

这不是一个准备好的语句，因为它需要它并将它放在引号中，这意味着语句看起来像这样：

CREATE TABLE 'test' ( `wage` FLOAT NOT NULL , `monday` FLOAT NOT NULL , `tuesday` FLOAT NOT NULL , `wednesday` FLOAT NOT NULL , `thursday` FLOAT NOT NULL , `friday`) ENGINE = InnoDB;

这是无效的

所以我不得不写这样的语句：

connection.query({
sql: 'CREATE TABLE '+arg1+' ( `wage` FLOAT NOT NULL , `monday` FLOAT NOT NULL , `tuesday` FLOAT NOT NULL , `wednesday` FLOAT NOT NULL , `thursday` FLOAT NOT NULL , `friday` FLOAT NOT NULL) ENGINE = InnoDB;',
timeout: 40000, // 40s
},
//[''],
function (error, results, fields) {

if (error) {
console.log("Table creation failed");
}else{
console.log("Table creation success");
}

}

);

这行得通，但它现在让我面临 SQL 注入，这是我试图避免的。

有什么办法可以解决这个问题并使用准备好的语句？

https://www.npmjs.com/package/mysql - 这是我使用的包

Answer 1

您可以使用“??”转义查询标识符或 connection.escapeId()。

https://www.npmjs.com/package/mysql#escaping-query-identifiers