Node.js SQL Injection 예방

url query string을 통한 SQL Injection을 해결하기 위한 두가지 방법

원래 코드

db.query(`SELECT * FROM user WHERE id = ${id}`, function~~~)

방법 1. 물음표 대치

db.query(`SELECT * FROM user WHERE id = ?`, [id], function~~~)

방법 2. 함수 활용

db.query(`SELECT * FROM user WHERE id = ${db.escape(id)}`, function~~~)

 

두가지 방법 모두 변수 전후에 따옴표를 추가시켜 삽입된 데이터에 인젝션이 있더라도, 사용되지 않도록 함