什么是在服务器端JS

时间:2017-01-31 16:57:05

标签: javascript sql node.js code-injection hana

我想了解防止SQL注入的最佳做法。

从客户端(index.html)可以说,您有一个表单,通过$ .ajax

向服务器端页面提交一个字符串值数组
var data_to_be_submitted = {
                          "searchTerms":descriptorArray,

                               };


             $.ajax({
                          url: 'get_fact_trans_volume.xsjs',
                           data:data_to_be_submitted,   
                      ....});

在服务器端(get_fact_trans_volume.xsjs)上我做了类似的事情:

var searchTerms = [];
searchTerms = $.request.parameters.get("searchTerms") ;

var quotedAndCommaSeparated = "'" + searchTerms.join("','") + "'";

var sqlQuery = "Select ... from table t where t.field in (%S)"

sqlQuery = sqlQuery.replace("%S", searchTerms .toString());

这是遵循正确的最佳做法吗?使用Javascript构造SQL查询的好方法是什么?

1 个答案:

答案 0 :(得分:1)

有一个PrepareStatement类。

http://help.sap.com/hana/SAP_HANA_XS_JavaScript_API_Reference_en/ $。db.PreparedStatement.html