मैं पैरामीटरयुक्त SQL क्वेरी इस तरह करता हूं:
var sql = require('mssql');
var myFirstInput = "foo bar";
var mySecondInput = "hello world";
sql.input('inputField1', sql.VarChar, myFirstInput);
sql.input('inputField2', sql.VarChar, mySecondInput);
sql.query("SELECT * FROM table WHERE field1 = @inputField1 OR field2 = @inputField2")
.then(function(results)
{
//do whatever you want with the results
console.log(results)
})
.catch(function(error)
{
//do whatever when you get an error
console.log(error)
})
यहाँ क्या होता है कि sql.input('inputField1', sql.VarChar, myFirstInput) @inputField1 को बदल देगा myFirstInput . नामक चर के साथ . @inputField2 . के लिए भी यही होगा mySecondInput . के साथ ।
यह SQL इंजेक्शन से इसे मदद करेगा
