代码之家  ›  专栏  ›  技术社区  ›  Null Salad

如何使用postgresql和nodejs将变量安全地插入数组?

postgresql node.js
  •  0
  • Null Salad  · 技术社区  · 5 月前

    我可以像这样不安全地修改数组: 

    await pool.query(`UPDATE profiles SET friends = friends || '{"${newFriend}"}'`);

    然而,这会让你对SQL注入等持开放态度。理想的做法是将其放入末尾的数组中,如下所示 

    await pool.query(`UPDATE profiles SET friends = friends || $1`, [newFriend]);

    但这并不完全正确,是吗?我需要添加字符串 "{' '}" 不知何故。做这件事的正确方法是什么?

    1 回复  |  直到 5 月前
        1
  •  1
  •   Ry-    5 月前

    pg支持开箱即用序列化数组参数: 

    await pool.query(`UPDATE profiles SET friends = friends || $1`, [[newFriend]]);

    您还可以在查询端使用 array constructor : 

    await pool.query(`UPDATE profiles SET friends = friends || ARRAY[$1]`, [newFriend]);

    无论哪种方式,您都可以避免手动使用数组的文本表示,这是理想的。

    数组连接运算符也可以直接处理单个元素,但我觉得这有点不舒服。 

    // substitute `text` with the underlying type of the array, if not `text`
await pool.query(`UPDATE profiles SET friends = friends || $1::text`, [newFriend]);
    推荐文章
    user433342  ·  流式传输SheetJS-xlsx以在节点中形成数据
    4 月前
    servvs  ·  如何从javascript中的另一个类回调读取修改后的类属性?
    4 月前
    Vanortton  ·  使用Docker开始应用程序开发还是在开发过程中配置Docker?[关闭]
    4 月前
    ProfessorFinesse  ·  在默认表单中完成帖子请求时,“res.send”会去哪里?
    4 月前
    LifeAsPixels  ·  试图使用Node.js读取我的本地html文件时,此错误的来源是什么?
    4 月前
    Josue Abotsidia  ·  创建NextJS项目时出错
    4 月前
    Soon Winner  ·  TypeError:superheroes.random在使用“超级英雄”npm包时不是函数[关闭]
    5 月前
    Null Salad  ·  如何使用postgresql和nodejs将变量安全地插入数组?
    5 月前
    Zak  ·  令牌认证路由的页面刷新重定向到React中的404页面
    5 月前
    DSATH  ·  我的lambda在代码完成之前就结束了,我不知道为什么
    5 月前
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号