【发布时间】:2014-08-04 21:41:53
【问题描述】:
我目前正在使用node-mysql 库将我的应用程序连接到 MySQL 实例。在阅读了我发现的其他一些 StackOverflow 问题和文章后,听起来 node-mysql 每次调用 query() 方法时都会自动转义不安全字符。但在一些代码 sn-ps 上,我还看到 mysql.escape() 和 mysql.escapeId() 在 query() 方法中被调用。
虽然query() 自动转义了一些危险字符,但您仍然应该调用mysql.escape() 和mysql.escapeId() 来转义其他危险字符。
这是正确的吗?如果是这样,query()方法可以自动防护哪些SQL注入攻击,调用mysql.escape()和mysql.escapeId()可以自动防护哪些SQL注入攻击?
【问题讨论】:
标签: node.js express node-mysql