使用Node-MSSQL编写的语句

问题描述 投票:0回答:1

我想通过Node.js将API数据存储在SQL Server数据库中。如下面的第一个代码所示,它已经可以与普通的INSERT查询一起使用。 

   server.route({

        method: 'POST',
        path: '/',
        handler: async(request, h) => {

            try {
                await pool.query("INSERT INTO mytable(device,data,stationId,rssi,unix_timestamp)                              VALUES('"+request.payload.device+"','"+request.payload.data+"','"+request.payload.station+"',
'"+request.payload.rssi+"','"+request.payload.time+"')");

                return h.response('Callback received').code(200);
            }
            catch (err) {
                console.log("SQL Err", err.stack);
                return 'Error';
            }

        }

    });

现在,我想对代码进行一些改进,以避免SQL注入并获得更好的概述。

因此,我想使用本文档中所述的准备好的语句:https://www.npmjs.com/package/mssql#prepared-statement

到目前为止,我已经在这里做到了:

´´´server.route({

    method: 'POST',
    path: '/',
    handler: async(request, h) => {


        const ps = new sql.PreparedStatement(pool)

        try {

        ps.input('device', sql.VarChar(10))
        ps.input('data', sql.VarChar(24))
        ps.input('station', sql.NChar(10))
        ps.input('rssi', sql.Float)
        ps.input('time', sql.Int)

            await ps.prepare('INSERT INTO mytable(device,data,stationId,rssi,unix_timestamp) VALUES(@device,@data,@station,@rssi,@time)');

            try {
              await ps.execute(
                { device: request.payload.device },
                { data: request.payload.data },
                { station: request.payload.station },
                { rssi: request.payload.rssi },
                { time: request.payload.time }
                )
            } finally {
              await ps.unprepare();
            }
            return h.response('Callback received').code(200);
        }
         catch (err) {
            console.log("SQL Err", err.stack);
            return 'Error';
        }
    }
});

´´´

并且发生以下错误:

    at Parser.emit (events.js:223:5)
    at Parser.<anonymous> (C:\Users\AW\sqltest\node_modules\tedious\lib\token\token-stream-
parser.js:37:14)
    at Parser.emit (events.js:223:5)
    at addChunk (C:\Users\AW\sqltest\node_modules\readable-stream\lib\_stream_readable.js:2
97:12)
    at readableAddChunk (C:\Users\AW\sqltest\node_modules\readable-stream\lib\_stream_reada
ble.js:279:11)
    at Parser.Readable.push (C:\Users\AW\sqltest\node_modules\readable-stream\lib\_stream_r
eadable.js:240:10)
    at Parser.Transform.push (C:\Users\AW\sqltest\node_modules\readable-stream\lib\_stream_
transform.js:139:32)

我希望有人可以帮助我。

node.js sql-server prepared-statement insert-query
1个回答
0
投票

似乎在以下行上发生了错误:

ps.input('station',sql.NChar(10))

我将调试在此分配的值,并查看它是否适合该模式,或者是否未定义。

另外,如果您担心可读性和SQL注入,请考虑使用ORM,例如Sequelize。

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.