我四处寻找,但没有找到这个问题的答案。
Javascript 中是否有类似于 PHP 的功能,可以在mysql_real_escape_string将用户输入写入 WebSQL 数据库之前进行安全的用户输入?
如果没有,是否有人知道我可以使用的定制功能?
更新:所以似乎没有本机功能,所以我写了:
function sql_real_escape_string(val){
var val = val.replace('"','"');
val = val.replace('\'','’');
return val;
}
为了安全起见,我应该替换任何其他字符吗?
在插入数据库时处理用户输入的最佳答案是使用参数化。Web SQL API 支持这一点:
var db = openDatabase('mydb', '1.0', 'my database', 2 * 1024 * 1024);
db.transaction(function (tx) {
tx.executeSql('INSERT INTO foo (id, text) VALUES (?, ?)', [id, userValue]);
});
而不是这个:
db.transaction(function (tx) {
tx.executeSql('INSERT INTO foo (id, text) VALUES (1, "user-entered value")');
});