我想了解防止SQL注入的最佳做法。
从客户端(index.html)可以说,您有一个表单,通过$ .ajax
向服务器端页面提交一个字符串值数组var data_to_be_submitted = {
"searchTerms":descriptorArray,
};
$.ajax({
url: 'get_fact_trans_volume.xsjs',
data:data_to_be_submitted,
....});
在服务器端(get_fact_trans_volume.xsjs
)上我做了类似的事情:
var searchTerms = [];
searchTerms = $.request.parameters.get("searchTerms") ;
var quotedAndCommaSeparated = "'" + searchTerms.join("','") + "'";
var sqlQuery = "Select ... from table t where t.field in (%S)"
sqlQuery = sqlQuery.replace("%S", searchTerms .toString());
这是遵循正确的最佳做法吗?使用Javascript构造SQL查询的好方法是什么?
答案 0 :(得分:1)
有一个PrepareStatement类。
http://help.sap.com/hana/SAP_HANA_XS_JavaScript_API_Reference_en/ $。db.PreparedStatement.html