如果我尝试像这样使用 Sequelize.js:
model.user.create
(
{
username : user_name,
password : hashed_password
},
{
attribute : ['id'],
raw : true
}
);
Sequelize.js 会确保 user_name 不会导致任何 SQL 注入(inject),还是我应该确保在将它交给 Sequelize.js 之前将其转义? (在模型中,用户名和密码都是 type : Sequelize.TEXT
)
最佳答案
根据我在 source code 中看到的内容对于 Sequelize v4 和 v5,insertQuery()
函数正在转义生成的查询中的所有内容。这是实际的 escape()
function implementation .
关于node.js - 默认情况下,Sequelize.js 是否会转义 SQL 注入(inject)的输入?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/53877066/