sql >> Database teknologi >  >> RDS >> Mysql

Indsættelse af variabler i SQL-forespørgsel til node-mysql

Foretræk altid mulighed 2, da de er SQL-injektionssikre. Mulighed 1 vil få dit websted hacket inden for 5 minutter, mens hackere vil have svært ved at bryde mulighed 2.

Selv i ydeevne kan mulighed 2 være en lille smule hurtigere.

Men :Tabelnavne kan ikke escapes med ? så gå ikke derhen. Bare sørg for, at brugerne ikke kan indtaste tabelnavnet manuelt, så er du sikker mod hackere.

-rediger-

Hvorfor vil du alligevel gøre tabelnavne variable?




  1. Tæl store bogstaver i streng

  2. Håndtering af tider og efter midnat

  3. Svarende til varchar(max) i MySQL?

  4. Rekursiv i cakephp3?