node.js - 这种类型的查询对 sql 注入安全吗？

Question

让 tableName = req.body.tableName

让 colName = req.body.col1+","+req.body.col2

sqlString =INSERT INTO ${tableName}(${colName}) VALUES ($1,$2) RETURNING *

Answer 1

不，您正在使用 SQL 查询中的用户输入。

使用某种查询构建器，例如knex，它具有正确转义用户输入的内置方式。