我正在尝试在快速js应用程序中执行mysql查询
function(req,res){
var params = [req.body.category,1]
db.query("SELECT * FROM TABLE WHERE category IN ? AND status=?",[params],function(error,result){
console.log(error);
})
以下是req.body.category的输入值:[" pen"," book"]
更新
根据评论我改变了我的查询和输入
final query "SELECT * FROM TABLE WHERE category IN ("+req.body.category+")"
input:"'f','test'"
然而,这工作正常,但查询仍然容易受到SQL注入攻击,所以我用db.escape(req.body.category)括起来,但它返回空结果