変数のの値をSQLステートメントに入れる必要があります。
これは良くない:これは動作しますが、それはSQLインジェクション攻撃から安全ではありません
"SELECT * FROM arrivals WHERE flight = 'flightNo'"
:
"SELECT * FROM arrivals WHERE flight = '" + flightNo + "'"
SQLインジェクションからの安全のために、あなたは次のようにあなたの価値をエスケープすることができますこれは:
"SELECT * FROM arrivals WHERE flight = '" + connection.escape(flightNo) + "'"
しかし、最も良い方法はパラメータ置換を使用します。
app.get("/arrivals/:flightNo", cors(), function(req, res) {
var flightNo = req.params.flightNo;
var sql = "SELECT * FROM arrivals WHERE flight = ?";
connection.query(sql, flightNo, function(err, rows, fields) {
});
});
あなたが作るために、複数の置換を持っている場合は、配列を使用します。
app.get("/arrivals/:flightNo", cors(), function(req, res) {
var flightNo = req.params.flightNo;
var minSize = req.query.minSize;
var sql = "SELECT * FROM arrivals WHERE flight = ? AND size >= ?";
connection.query(sql, [ flightNo, minSize ], function(err, rows, fields) {
});
});
を