有人查看我的代码说下面的 SQL 查询 (SELECT * FROM...) 显然容易受到攻击。我对此进行了研究，似乎我通过使用参数化查询正确地做到了这一点，但显然我遗漏了一些东西。

app.get("/api/v1/:userId", async (req, res) => {
    try {
        const teammate = await db.query("SELECT * FROM teammates WHERE uid = $1", [
            req.params.userId,
        ]);

最佳答案

该查询不对SQL注入(inject)开放，因为它使用了参数化查询。数据不会代替参数 ($1)，而是在“绑定(bind)”消息中单独发送，因此无论数据包含什么，都不会被解释为 SQL 语句的一部分。

此外，看起来参数是一个整数，SQL 注入(inject)只能发生在字符串参数上。

https://stackoverflow.com/questions/69292758/