viprat Ответов: 1

Как вставить данные в узел js

Привет,

Я пытаюсь вставить данные в таблицу с помощью узла js. но он не отформатирован.

Что я уже пробовал:

ниже приводится инструкция insert : 

INSERT INTO table1 (col1, col2, col3) values ('" + req.body.aa + "', '" + req.body.bb + "', '" + req.body.cc + "')";


я проверил sql probiler и обнаружил, что он создает запрос, как показано ниже:

INSERT INTO table1 (col1, col2, col3) values (2,aa,bb)


на самом деле это должно быть так, как показано ниже:
INSERT INTO table1 (col1, col2, col3) values ('2','aa','bb')


может ли кто-нибудь, пожалуйста, помочь..

Спасибо....

1 Ответов

Рейтинг:
2

Patrice T

Цитата:
может ли кто-нибудь, пожалуйста, помочь..

Нет, мы действительно не можем помочь вам в этом, потому что
INSERT INTO table1 (col1, col2, col3) values ('" + req.body.aa + "', '" + req.body.bb + "', '" + req.body.cc + "')";

создающий
INSERT INTO table1 (col1, col2, col3) values ('2','aa','bb')

Если вы этого не сделаете, что-то еще произойдет в вашем коде, но мы не можем догадаться.

Никогда не создавайте SQL-запрос путем объединения строк. Рано или поздно вы сделаете это с помощью пользовательских вводов, и это откроет дверь к уязвимости под названием "SQL-инъекция", она опасна для вашей базы данных и подвержена ошибкам.
Одна кавычка в имени - и ваша программа выйдет из строя. Если пользователь вводит имя, например "Брайан О'Коннер", может привести к сбою вашего приложения, это уязвимость SQL-инъекции, и сбой-это наименьшая из проблем, вредоносный пользовательский ввод, и он продвигается к командам SQL со всеми учетными данными.
SQL-инъекция - Википедия[^]
SQL-инъекция[^]
Атаки SQL-инъекций на примере[^]
PHP: SQL-инъекция - руководство пользователя[^]
Шпаргалка по предотвращению инъекций SQL - OWASP[^]
Как я могу объяснить SQL-инъекцию без технического жаргона? - Обмен Стеками Информационной Безопасности[^]