Node.JSでSQLインジェクションを防止するにはどうすればよいですか？

Question

SQLインジェクションを防止してNode.JSでMS SQLサーバデータベースの行を選択するにはどうすればよいですか？私はエクスプレスフレームワークとパッケージmssqlを使用します。ここで

は、私はES 6

const express = require('express'), 
     app = express(), 
     sql = require('mssql'), 
     config = require('./config'); 

let connect = (f, next) => { 
    sql.connect(config.database.connectionstring).then(f).catch((err) => { 
     next(err); 
    }); 
}; 

app.get('/locations/get/:id', (req, res, next) => { 
    let f =() => { 
     new sql.Request().query(`select * from mytable where id = ${req.params.id}`) 
         .then((recordset) => { 
      console.dir(recordset); 
     }).catch((err) => { 
      next(err); 
     }); 
    }; 

    connect(f, next); 
}); 

Answer 1

PreparedStatementを使用して書かれたSQLインジェクションの可能性を今使用し、私のコードの一部です。ここでは、ドキュメントhttps://www.npmjs.com/package/mssql#prepared-statementからそれを行う方法です。

var ps = new sql.PreparedStatement(/* [connection] */); 
ps.input('id', sql.Int); 
ps.prepare('select * from mytable where id = @id', function(err) { 
    ps.execute({id: req.params.id}, function(err, recordset) { 
    ps.unprepare(function(err) { 
     // ... error checks 
    }); 

    // Handle the recordset 
    }); 
}); 

各プリペアドステートメントには1がプールから接続を予約し意味することを覚えておいてください。準備された声明を準備しないことを忘れないでください！

トランザクション内にプリペアドステートメントを作成することもできます（新しいsql.PreparedStatement（transaction））。ただし、準備ができていないときは、トランザクション内で他のリクエストを実行することはできません。

ドキュメントがES5で書かれたが、私は、あなたがそれをPromisifyことができることを確認している:)