sql >> データベース >  >> RDS >> Mysql

node-mysqlのSQLクエリに変数を挿入する

    オプション2はSQLインジェクションの証拠であるため、常にオプション2を優先してください。オプション1は、5分以内にサイトをハッキングしますが、ハッカーはオプション2を破るのに苦労します。

    パフォーマンスオプション2でも、少し速いかもしれません。

    ただし :テーブル名は?ではエスケープできません だからそこに行かないでください。ユーザーがテーブル名を手動で入力できないようにしてください。そうすれば、ハッカーから安全になります。

    -編集-

    とにかくテーブル名を可変にしたいのはなぜですか?




    1. マルチテナントDjangoアプリケーション:リクエストごとにデータベース接続を変更しますか?

    2. Ibatisを使用したインサートでIDを返す方法(RETURNINGキーワードを使用)

    3. SQLite RealvalsをJavaBigDecimal値に書き込むにはどうすればよいですか?

    4. SQL-いくつかの行の合計から他の行の合計を引いたもの