Вставка нескольких записей в mySQL с NodeJS, предотвращающая внедрение и получение идентификатора каждой записи
У меня есть запрос ajax, который добавляет одну или несколько записей в таблицу (следующий код на стороне сервера):
app.post('/saveLesson',function(req, res) {
let sections = JSON.parse(req.body.sections);
let sql = 'INSERT INTO sections (title, content, duration) VALUES ';
for (let i = 0; i < sections.length; i++) {
if (i == sections.length-1) {
sql += '("' + sections[i].title + '","' + sections[i].content + '","' + sections[i].duration + '");';
} else {
sql += '("' + sections[i].title + '","' + sections[i].content + '","' + sections[i].duration + '"),';
}
}
connection.query(sql,
function (error, result) {
if (error) throw error;
});
});
Я хочу предотвратить внедрение SQL, но не знаю, как это сделать для нескольких записей.
Обычно я знаю, что мне придется построить свой оператор sql следующим образом:
connection.query("SELECT * FROM bank_accounts WHERE dob = ? AND bank_account = ?",
[
req.body.dob,
req.body.account_number
],
function(error, results) {
}
);
Но я не уверен, как добиться этого с несколькими записями (не зная, сколько их). Является ли параметр .query обычным массивом?
Кроме того, мне нужно где-то хранить созданные идентификаторы и отправлять их обратно на страницу клиента. Как я могу этого добиться? Спасибо.
***************************** ОБНОВИТЬ ******************** **********
Хотя кто-то опубликовал решение, я подумал, что это может быть полезно. С помощью следующего кода вы можете добавить несколько записей, предотвращающих инъекции SQL.
app.post('/saveLesson',function(req, res) {
let sections = JSON.parse(req.body.sections);
console.info(sections);
let sql = 'INSERT INTO sections (title, duration, content) VALUES ';
// I make a new array to pass the list of values to the query
let sectionsParamList = [];
for (let i = 0; i < sections.length; i++) {
if (i == sections.length-1) {
sql += '(?,?,?);';
} else {
sql += '(?,?,?),';
}
sectionsParamList.push(sections[i].title);
sectionsParamList.push(sections[i].duration);
sectionsParamList.push(sections[i].content);
}
connection.query(sql, sectionsParamList,
function (error, result) {
if (error) throw error;
});
});
Интересная ссылка, спасибо. На стороне клиента у меня также есть идентификаторы для записей, которые я буду вставлять (инкрементное число + Math.random() - они уникальны только на странице клиента, а не в БД). Было бы целесообразно добавить записи с этим идентификатором вместе с другой информацией, а затем получить уникальный идентификатор, созданный базой данных, с использованием «фиктивных» идентификаторов? Я полагаю, что получу бесполезное поле, если не переработаю его для каких-то других данных.
![Безумие обратных вызовов в javascript [JS]](https://i.imgur.com/WsjO6zJb.png)
Ответы 1
Как работает MySQL, когда вы выполняете многострочную операцию INSERT, подобную той, которую вы предлагаете, вы возвращаете только автоматически сгенерированный уникальный id последней вставленной строки. Он отображается в вашем объекте result как result.insertId. Не пытайтесь угадать значения id других строк, например, путем вычитания, потому что это не гарантируется.
Тот факт, что вам нужно это id для каждой вставляемой строки, означает, что вы должны использовать не многострочную вставку, а скорее последовательность вставок одной строки. Это также аккуратно решает вашу проблему с SQL-инъекциями.
Но вам придется выяснить, как выполнить последовательность INSERT операций. Вы можете сделать это с настройкой async/await/promise. Что-то вроде этого, не отлажен.
/* do one insert with a Promise so you can await it */
function doInsert (section, connection) {
const values = [section.title, section.content, section.duration];
return new Promise( function ( resolve, reject ) {
const sql = "INSERT INTO sections (title, content, duration) VALUES (?,?,?);"
connection.query (sql, values, function ( error, result ) {
if (error) reject (error)
resolve (result.insertId)
} )
} )
}
/* do all the inserts, awaiting each one */
async function doInserts (sections, connection) {
let ids = []
for (let i = 0; i < sections.length; i++) {
const id = await doInsert (sections[i], connection)
ids.push(id)
}
return ids
}
/* handle your post */
app.post('/saveLesson',function(req, res) {
let sections = JSON.parse(req.body.sections)
/* get the result back from an async function with .then / .catch */
doInserts (sections, connection)
.then (function (resultIds) {
/* respond with the id values in a JSON object */
res.status(200).json(resultIds)
} )
.catch ( function (error) {
/* respond with an error */
res.status(500).json(error)
} )
} )
Эти языковые конструкции async/await и Promise действительно стоят того, чтобы их выучить, если вы их еще не знаете.
Признаюсь, я мало что знаю об async/await и Promise. Мне определенно нужно научиться ими пользоваться. Спасибо за ваше сообщение.
Also I need to store somewhere the created IDs and send them back to the client page.Вместо использования автоинкрементных первичных ключей вы можете сгенерировать их самостоятельно, т.е. microshell.com/database/mysql/…