sql >> Databáze >  >> RDS >> Mysql

Vkládání proměnných do SQL dotazu pro node-mysql

Vždy upřednostňujte možnost 2, protože jsou odolné proti vložení SQL. Možnost 1 zajistí, že váš web bude hacknut do 5 minut, zatímco hackeři budou mít problém prolomit možnost 2.

Dokonce i ve výkonové variantě 2 může být o něco rychlejší.

Nicméně :Názvy tabulek nelze escapovat pomocí ? tak tam nechoď. Jen se ujistěte, že uživatelé nemohou zadat název tabulky ručně a budete v bezpečí před hackery.

-edit-

Proč byste přesto chtěli změnit názvy tabulek?




  1. python-mysqldb bez transakcí

  2. Vytváření tabulky mysql s explicitní výchozí znakovou sadou, co když ne?

  3. Flask-SQLAlchemy - průběžné připojení k více databázím

  4. PHP Mysql se spojuje napříč databázemi