0

看看这段代码,它使用better-sqlite3

router.post('/auth', (req, res) => {
    var rc = req.params('code')
    var code_entry = db.prepare('SELECT * FROM pending_registrations WHERE code = ?').get(rc)
    if (code_entry === undefined) {
        res.send({ success: false })
    }

我是否需要验证codepost 查询的参数格式是否正确?如果输入错误,此代码是否可能出现故障?

4

1 回答 1

2

SQL参数不需要格式化;它们不会插入到查询文本中,而是直接传递给数据库。(这是处理 Blob 的唯一实用方法,它实际上可以包含任何内容。)

于 2019-01-06T15:18:41.010 回答