인젝션

개발일지/Node.js

SQL Injection 방지 - 권장방식에는 다 이유가 있지..

nodejs express 공부를 하고 있는데, 쿼리를 작성하던 중 문득 생각이 들었다. ` SELECT * FROM users WHERE user_id = ? ` mariadb 모듈에는 query 함수가 있는데, 첫 번째 인자로 쿼리 문자열 받고, 두 번째 인자로 쿼리의 플레이스홀더(? 부분)에 해당하는 부분을 배열 형태로 받는다. 세 번째 인자로 콜백함수를 받는다. 여기서 ${} 형태로 작성하면 가독성과 유지보수 측면에서 더 좋지 않나? 라는 생각이 들었다. ` SELECT * FROM users WHERE user_id = ${userId} ` 이런 식으로 작성하고 두 번째 인자를 생략하면 정상적으로 작동된다. 하지만 또 한편으로 드는 생각이 굳이 첫 번째 방식으로 작성하고 두 번째 인자로 배열을 ..

E-room
'인젝션' 태그의 글 목록