NodeJS変数をSQLクエリに入力する方法
NodeJS変数を含むSQLクエリを書きたいのですが。これを行うと、「未定義」のエラーが発生します。
以下のSQLクエリでflightNo変数を認識させたい。 NodeJS変数をSQLクエリに入力するにはどうすればよいですか? $や?などの特殊文字が必要ですか。
app.get("/arrivals/:flightNo?", cors(), function(req,res){
var flightNo = req.params.flightNo;
connection.query("SELECT * FROM arrivals WHERE flight = 'flightNo'", function(err, rows, fields) {
変数のvalueをSQLステートメントに入れる必要があります。
これは良くありません:
"SELECT * FROM arrivals WHERE flight = 'flightNo'"
これは機能しますが、SQLインジェクション攻撃から安全ではありません。
"SELECT * FROM arrivals WHERE flight = '" + flightNo + "'"
SQLインジェクションから保護するために、次のように値をエスケープできます。
"SELECT * FROM arrivals WHERE flight = '" + connection.escape(flightNo) + "'"
しかし、最善の方法は、パラメータ置換を使用することです。
app.get("/arrivals/:flightNo", cors(), function(req, res) {
var flightNo = req.params.flightNo;
var sql = "SELECT * FROM arrivals WHERE flight = ?";
connection.query(sql, flightNo, function(err, rows, fields) {
});
});
複数の置換を行う場合は、配列を使用します。
app.get("/arrivals/:flightNo", cors(), function(req, res) {
var flightNo = req.params.flightNo;
var minSize = req.query.minSize;
var sql = "SELECT * FROM arrivals WHERE flight = ? AND size >= ?";
connection.query(sql, [ flightNo, minSize ], function(err, rows, fields) {
});
});
> ES6を使用している場合:
connection.query(`SELECT * FROM arrivals WHERE flight = ${flightNo}`, function(err, rows, fields) {
ES6未満の場合:
connection.query("SELECT * FROM arrivals WHERE flight = " + flightNo, function(err, rows, fields) {
SQLインジェクション攻撃に対して脆弱になるため、これは非常に悪い習慣ですであることに注意してください。