क्वेरी करने के लिए कभी भी स्ट्रिंग कॉन्सटेनेशन का उपयोग न करें, आपके पास पहले से ही तैयार स्टेटमेंट नामक तंत्र है, जैसे हस्ताक्षर
.query('SELECT * FROM `books` WHERE `author` = ?', ['David'])
यह आपके लिए इनपुट को स्वच्छ करेगा और आंशिक रूप से एसक्यूएल-इंजेक्शन हमलों को रोकेगा, हमेशा इनपुट मानों का सत्यापन भी करेगा। और अगर आप ORM जैसे typeorm
. का इस्तेमाल नहीं करना चाहते हैं , Sequelize
, आप knex.js
. का उपयोग कर सकते हैं जो केवल क्वेरी स्ट्रिंग बना सकता है और डीबी इंटरैक्शन को पूरी तरह से प्रबंधित कर सकता है