किसी भी अच्छी लाइब्रेरी को SQL नामों के लिए उचित एस्केपिंग प्रदान करनी चाहिए, जिसमें शामिल हैं:
- स्कीमा नाम
- टेबल का नाम
- कॉलम का नाम
उदाहरण के लिए, पीजी-वादे के भीतर आप इसे इस तरह इस्तेमाल करेंगे:
db.query("INSERT INTO $1~ VALUES ($2, $3, $4)", [table_name, value_a, value_b, value_c])
यानी आप ~
. के साथ वेरिएबल को जोड़कर अपने टेबल का नाम ठीक से प्राप्त कर सकते हैं , जो बदले में इसे SQL इंजेक्शन से सुरक्षित बनाता है।
यहाँ से, लाइब्रेरी द्वारा निष्पादित टेबल नामों के लिए एक सरल एस्केपिंग:
return '"' + name.replace(/"/g, '""') + '"';
यह भी देखें:SQL नाम