【发布时间】:2016-05-01 08:04:36
【问题描述】:
Webapp 有 cmets 形式。
如果用户输入如下内容:
“关于‘主题’的评论”(单引号未关闭)
这会阻止node-postgres 查询。
转义/注释掉/转换为 unicode 所有特殊字符的最简单方法是什么?但同时,毕竟要在页面上轻松渲染。
例如,反斜杠会成功注释掉单引号。但我敢肯定,还有更多特殊字符可能会破坏 pg 查询。是否有一些常用的脚本/模块来使字符串安全?
【问题讨论】:
-
使用准备好的语句并将参数绑定到其中。这样你就不需要关心它了。
-
Is there some commonly used script/module to make strings safe?有pg-promise 为例。 -
@vitaly-t,我不明白,它如何帮助我转义特殊字符
-
@stkvtflw 该库自动执行此操作,因为它实现了自己的查询格式。
标签: javascript sql node.js postgresql