JavaScript中可通过标签模板结合参数化查询安全构建SQL语句。定义sql标签函数将模板解析为静态片段与动态值分离的结构,避免拼接字符串导致的SQL注入。例如sql函数将${name}等变量替换为$1类占位符,并返回包含text和values的对象,供数据库驱动执行。对于动态条件,可封装逻辑按需生成查询片段,如根据过滤器拼接WHERE子句。最终结果与PostgreSQL的pg模块等兼容,实现既简洁又安全的SQL构造方式。
JavaScript中的模板字符串本身不能直接作为SQL查询构建器使用,但可以结合函数和标签模板(tagged templates)的方式,安全地构建动态SQL语句。关键在于避免拼接原始字符串导致的SQL注入风险,同时利用模板字符串的语法提升可读性。
使用标签模板解析SQL片段
通过定义一个标签函数,拦截模板字符串的解析过程,提取静态部分和动态值,再组合成参数化查询结构。
示例:
function sql(pieces, ...values) {let query = '';
for (let i = 0; i query += pieces[i];
if (i query += `$${i + 1}`; // 转为参数占位符
}
}
return { text: query, values };
}
const name = 'Alice';
const age = 30;
const query = sqlSELECT * FROM users WHERE name = ${name} AND age > ${age};
// 结果:
// {
// text: "SELECT * FROM users WHERE name = $1 AND age > $2",
// values: ["Alice", 30]
// }
处理条件逻辑与动态字段
实际应用中,SQL条件往往是动态的。可以在标签函数之外封装逻辑,按需拼接模板片段。
立即学习“Java免费学习笔记(深入)”;
例如:
let conditions = [];
let values = [];
if (filters.name) {
conditions.push(name = $${values.length + 1});
values.push(filters.name);
}
if (filters.age) {
conditions.push(age > $${values.length + 1});
values.push(filters.age);
}
let whereClause = conditions.length ? 'WHERE ' + conditions.join(' AND ') : '';
return {
text: SELECT * FROM users ${whereClause},
values
};
}
与数据库驱动配合使用
生成的参数化查询可以直接用于支持预处理语句的数据库客户端,如PostgreSQL的 pg 模块或MySQL的 mysql2。
示例(使用 pg):
const { Client } = require('pg');const client = new Client();
async function getUsers() {
const query = sqlSELECT * FROM users WHERE age > ${25};
const res = await client.query(query);
console.log(res.rows);
}
这种方式既保持了代码简洁,又防止了SQL注入,因为所有变量都作为参数传递,不参与SQL文本拼接。
基本上就这些。模板字符串在这里更像是DSL的语法糖,真正的安全性来自参数分离和数据库驱动的支持。
