默认情况下,Sequelize.js是否转义用于SQL注入的输入?

时间:2018-12-20 22:45:37

标签: node.js sequelize.js

如果我尝试像这样使用Sequelize.js:

model.user.create
(
    {
        username : user_name,
        password : hashed_password
    },
    {
        attribute : ['id'],
        raw : true
    }
);

Sequelize.js是否可以确保user_name不会导致任何SQL注入,或者我应该确保在将其交给Sequelize.js之前先对其进行转义? (在模型中,用户名和密码都仅为type : Sequelize.TEXT

1 个答案:

答案 0 :(得分:1)

从我在source code中看到的Sequelize v4和v5来看,insertQuery()函数正在转义所生成查询中的所有内容。这是实际的escape() function implementation

相关问题
最新问题