如果我尝试像这样使用Sequelize.js:
model.user.create
(
{
username : user_name,
password : hashed_password
},
{
attribute : ['id'],
raw : true
}
);
Sequelize.js是否可以确保user_name不会导致任何SQL注入,或者我应该确保在将其交给Sequelize.js之前先对其进行转义? (在模型中,用户名和密码都仅为type : Sequelize.TEXT)
答案 0 :(得分:1)
从我在source code中看到的Sequelize v4和v5来看,insertQuery()函数正在转义所生成查询中的所有内容。这是实际的escape() function implementation。