Nodejs 请教mysql参数化查询

当然可以！参数化查询是一种很好的做法，可以有效防止SQL注入攻击。在Node.js中使用MySQL时，可以通过mysql模块来实现参数化查询。

假设你已经安装了mysql模块，可以通过以下步骤进行参数化查询：

1. 安装mysql模块（如果还没有安装的话）：

   npm install mysql
   

2. 连接到数据库： 首先需要创建一个数据库连接，并执行参数化查询。

3. 编写参数化查询： 使用占位符?来代替实际的值，然后通过数组传递这些值。

以下是具体的代码示例：

const mysql = require('mysql');

// 创建数据库连接
const connection = mysql.createConnection({
  host: 'localhost',
  user: 'your_username',
  password: 'your_password',
  database: 'your_database'
});

// 连接到数据库
connection.connect((err) => {
  if (err) {
    console.error('Error connecting to database:', err);
    return;
  }
  console.log('Connected to database!');
});

// 定义用户ID
const userID = 'some_user_id';

// 编写参数化查询
const sql = 'SELECT parentpageId, name, url FROM parentpage WHERE managerId = ?';

// 执行查询
connection.query(sql, [userID], (error, results, fields) => {
  if (error) {
    console.error('Error executing query:', error);
    return;
  }

  // 输出查询结果
  console.log('Query results:', results);
});

// 关闭数据库连接
connection.end();

解释

1. 连接到数据库：

   • 使用mysql.createConnection()创建一个数据库连接。
   • 传递必要的配置信息，如主机名、用户名、密码和数据库名称。

2. 参数化查询：

   • 在SQL语句中使用?作为占位符。
   • connection.query()方法接受两个参数：第一个是SQL语句，第二个是一个数组，包含替换占位符的值。

3. 处理查询结果：

   • 查询完成后，回调函数会接收到三个参数：错误对象、结果集和字段信息。
   • 如果有错误，打印错误信息；否则，打印查询结果。

这样就可以有效地避免SQL注入攻击，同时保持代码的可读性和安全性。希望这对您有所帮助！