问题描述
const {tableName,recordId,idName}= req.query;
const arrayParam=[tableName,idName,recordId];
let sqlstmt="UPDATE ? SET status = 'deleted' WHERE ? = ?"
db.query(sqlstmt,arrayParam,(err,result) => {
if(err){console.log('Error occured while fetching user information',err)
res.send(err)
}
console.log(result);
res.send(result);
});
});
错误:
sqlMessage:“您的 sql 语法有错误;请检查与您的 MariaDB 服务器版本相对应的手册,以在 ''trainingRecords' SET status
= 'deleted' WHERE 'recordId' 附近使用正确的语法= '10000107'' 在第 1 行",sqlState: '42000',指数:0,
sql:“更新'trainingRecords' SET status
= 'deleted' WHERE 'recordId' = '10000107'”
在上面的代码片段中,根据我的理解,是“ ' ”(参数化中添加的单引号)导致了问题。有什么建议可以解决这个问题吗?
解决方法
不要使用准备好的语句来注入用于过滤或更新的表名或字段。尝试使用此查询。
UPDATE trainingRecords SET status = 'deleted' WHERE recordId = ?