sql >> Databasteknik >  >> RDS >> Mysql

Infogar variabler i SQL-fråga för node-mysql

Föredrar alltid alternativ 2, eftersom de är SQL-injektionssäkra. Alternativ 1 kommer att få din webbplats hackad inom 5 minuter, medan hackare kommer att ha svårt att bryta alternativ 2.

Även i prestanda kan alternativ 2 vara lite snabbare.

Men :Tabellnamn kan inte escapes med ? så gå inte dit. Se bara till att användare inte kan ange tabellnamnet manuellt så är du säker från hackare.

-redigera-

Varför skulle du vilja göra tabellnamn variabla ändå?




  1. Skapa en testmiljö från ett produktionslager

  2. Varför kan bara en superanvändare SKAPA EXTENTION hstore, men inte på Heroku?

  3. MySQL2 Ruby gem kommer inte att installera 10.6

  4. hämta base64-bilder från databasen