Hãy nhớ rằng việc đưa vào SQL là do các chuỗi thù địch được hiểu là các lệnh, không phải bởi các lệnh chặn. Bạn có chắc chắn rằng bạn đang lấy lại chuỗi ban đầu, không phải là một phiên bản đã được chuỗi không?
Ví dụ:có sự khác biệt rất lớn giữa hai điều này:"test" và "'test'" .
Nói chung, chỉ các ký tự có hại mới được thoát, các ký tự còn lại được giữ nguyên.
Tốt nhất nên tránh sử dụng trình điều khiển cấp thấp. Hãy thử và sử dụng thư viện như Sequelize để cung cấp một số trừu tượng và hỗ trợ nhiều hơn. Mô-đun đó hỗ trợ các câu lệnh trình giữ chỗ thường giúp thoát khỏi vấn đề không phải là vấn đề, nó được xử lý tự động.
Xem phần về truy vấn thô có thay thế nơi bạn có khả năng làm điều này:
sequelize.query('SELECT * FROM projects WHERE status = ?',
{ replacements: ['active'], type: sequelize.QueryTypes.SELECT }
).then(function(projects) {
console.log(projects)
})
Không có nguy cơ dữ liệu người dùng bị rò rỉ bởi vì bạn đã cung cấp nó dưới dạng một giá trị rõ ràng được xử lý đúng cách, không phải là một chuỗi nội tuyến trong truy vấn.
