代码之家  ›  专栏  ›  技术社区  ›  Null Salad

如何使用postgresql和nodejs将变量安全地插入数组?

postgresql node.js
  •  0
  • Null Salad  · 技术社区  · 5 月前

    我可以像这样不安全地修改数组: 

    await pool.query(`UPDATE profiles SET friends = friends || '{"${newFriend}"}'`);

    然而,这会让你对SQL注入等持开放态度。理想的做法是将其放入末尾的数组中,如下所示 

    await pool.query(`UPDATE profiles SET friends = friends || $1`, [newFriend]);

    但这并不完全正确,是吗?我需要添加字符串 "{' '}" 不知何故。做这件事的正确方法是什么?

    1 回复  |  直到 5 月前
        1
  •  1
  •   Ry-    5 月前

    pg支持开箱即用序列化数组参数: 

    await pool.query(`UPDATE profiles SET friends = friends || $1`, [[newFriend]]);

    您还可以在查询端使用 array constructor : 

    await pool.query(`UPDATE profiles SET friends = friends || ARRAY[$1]`, [newFriend]);

    无论哪种方式,您都可以避免手动使用数组的文本表示,这是理想的。

    数组连接运算符也可以直接处理单个元素,但我觉得这有点不舒服。 

    // substitute `text` with the underlying type of the array, if not `text`
await pool.query(`UPDATE profiles SET friends = friends || $1::text`, [newFriend]);
    推荐文章
    Johnny T  ·  基于当前值的SQL合并表[重复]
    3 月前
    Kallydi  ·  jdbc无法连接到docker中的postgresql数据库
    4 月前
    dietzi96  ·  Pandas DataFrame.to_sql随机和静默地失败,没有错误消息
    4 月前
    Peter Schofield  ·  类型转换Postgresql
    4 月前
    Barış Uşaklı  ·  如何在ON冲突更新中使用CTE中的值
    4 月前
    Kevin Smeeks  ·  Pyspark JDBC分区读取
    4 月前
    Micah Armantrout  ·  如何使用sql脚本将数据插入到代码优先的数据库中?
    4 月前
    Vanortton  ·  使用Docker开始应用程序开发还是在开发过程中配置Docker?[关闭]
    4 月前
    Andrus  ·  如何在sql中查找第二个匹配项
    4 月前
    MWood  ·  Postgres jsonpath用于引用单例元素或元素数组
    4 月前
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号