华为云Astro轻应用-脚本代码性能检查规则说明:规则8:SELECT语句中拼接的参数值请谨慎使用入参变量
时间:2025-02-12 14:58:39
下载华为云Astro轻应用用户手册完整版
复制链接到剪贴板
分享文章到微博
分享文章到朋友圈
规则8:SELECT语句中拼接的参数值请谨慎使用入参变量
SELECT语句中,拼接的参数值请谨慎使用入参变量,以免引起SQL注入的风险。
- 错误代码示例
import * as db from 'db';let errorDemo = "select id,name from object_demo where id = ";errorDemo += input.parameter let errorDemoResult = db.sql().exec(errorDemo)
其中,“input.parameter”为脚本入参。
- 正确代码示例
import * as db from 'db';let correctDemo = "select id,name from object_demo where id = ?";let correctDemoResult = db.sql().exec(correctDemo, { params: [input.parameter] })其中,“input.parameter”为脚本入参。
support.huaweicloud.com/usermanual-astrozero/astrozero_05_05001.html
