На эту тему было некоторое обсуждение (например, Предотвращение внедрения SQL в Node.js ), но на самом деле никакой четкой ясности или глубокого обсуждения, не говоря уже о хорошей документации. В документации по node-mysql обсуждается предотвращение SQL-инъекций и некоторые функции побега. Однако неясно, как эти функции предотвращают внедрение SQL. В руководстве сказано: «Строки безопасно экранированы». Ничего больше... Это ограничено экранированием только некоторых символов?
Похоже, что в node-mysql есть другие эквиваленты для той же функции, что и в connection.escape и pool.escape, с еще одним акцентом на том, что эти функции используются для предотвращения SQL-инъекций.
Похоже, что в node-mysql также нет поддержки истинного оператора подготовки. Планы и документация по этому поводу снова неясны. Node-mysql, безусловно, очень популярный модуль в среде node.js и довольно стабильный, по крайней мере, при том ограниченном опыте, который у меня был с ним. Каковы передовые методы предотвращения SQL-инъекций в node-mysql?