在过去,我的印象是sequelize会以某种方式自动阻止SQL注入,但当前版本的手册意味着有些情况需要进行清理(link)
对不起,如果这是一个愚蠢的问题,但是在使用续集时我无法确定是否需要进行消毒。
由于
答案 0 :(得分:0)
为了一般安全,您应该始终尝试清理来自用户输入的任何数据。但是,使用运营商更安全。始终尽可能使用Sequelize.Op
答案 1 :(得分:0)
除了同意McCabe的回答外,我还要补充一点,即序列化至少可以处理未转义的字符串,这可以说是处理SQL Injection问题的重要组成部分。即使您要编写自定义查询,也可以使用替换来实现,如第一句话here中所述:“ ... 替换已转义,并通过先续后插入到查询中查询将发送到数据库...”。