तैयार बयानों या प्रश्नों का उपयोग करने का सबसे अच्छा तरीका है (एनपीएम mysql
. के लिए दस्तावेज़ीकरण का लिंक मॉड्यूल:https://github.com/mysqljs/mysql#preparing-queries
)
var sql = "SELECT * FROM table WHERE userid = ?";
var inserts = [message.author.id];
sql = mysql.format(sql, inserts);
यदि तैयार बयान एक विकल्प नहीं है (मुझे नहीं पता कि यह क्यों नहीं होगा), एसक्यूएल इंजेक्शन को रोकने के लिए एक गरीब आदमी का तरीका यहां वर्णित सभी उपयोगकर्ता द्वारा आपूर्ति किए गए इनपुट से बचना है:https://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheet#MySQL_Escaping