Как в предварительном запросе передать переменной $ значение полей?

Question

Boris007 @Boris007

Как в предварительном запросе передать переменной $ значение полей?

Как реализовать подобный запрос?

async read(column, value) {
   return await pool.query(`SELECT * from users WHERE $1=$2`, [column, value])
}

Если я правильно понял, то при запросе

pool.query(`SELECT * from users WHERE ${column}=$1`, [value])

В columnмогут прокинуть любую команду

Вопрос задан более года назад
79 просмотров

4 комментария

Подписаться 1 Простой 4 комментария

Kentavr16 @Kentavr16

return await pool.query(`SELECT * from users WHERE $1=$2`, [column, value]) не работает?

Написано более года назад
Boris007 @Boris007 Автор вопроса

Kentavr16, нет

Написано более года назад
Lynn «Кофеман» @Lynn

Если тебе нужен такой запрос, значит схема БД плохая.
Либо ты делаешь что-то ну о-о-очень специфическое.
Но лично я склоняюсь к первой версии.

Написано более года назад
Дмитрий @iMedved2009

Kentavr16, и не должно исходя из смысла подготовленных выражений

Написано более года назад

Решения вопроса 1

1 комментарий

Пригласить эксперта

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы

PostgreSQL

Простой
Отличие md5 от scram-sha-256 в pg_hba.conf postgresql?
- 1 подписчик
- 13 часов назад
- 46 просмотров
2

ответа
Node.js

Простой
Зачем делать прокси на pm2?
- 1 подписчик
- 22 часа назад
- 62 просмотра
1

ответ
PostgreSQL

Простой
Почему при установлении явного разрешенного ip в postgresql.conf перестает работать подключение?
- 1 подписчик
- вчера
- 90 просмотров
1

ответ
Linux

+1 ещё

Простой
Как выглядит sudoers?
- 2 подписчика
- 27 янв.
- 2549 просмотров
5

ответов
JavaScript

+2 ещё

Простой
Как подключить NPM-библиотеку web-audio-beat-detector к html-css-js проекту?
- 1 подписчик
- 23 янв.
- 73 просмотра
1

ответ
PostgreSQL

Простой
Как подсчитать среднее количество записей за день в postgesql?
- 1 подписчик
- 21 янв.
- 102 просмотра
1

ответ
Linux

+1 ещё

Простой
Vpn и бот на одном vps сервере одновременно?
- 1 подписчик
- 21 янв.
- 235 просмотров
1

ответ
PostgreSQL

Простой
Почему на одном пк sql запрос выполняется, а на другом нет?
- 1 подписчик
- 21 янв.
- 142 просмотра
1

ответ
JavaScript

+2 ещё

Простой
Использование PDFium через WASM в Node.js и альтернативы для анализа метаданных PDF?
- 1 подписчик
- 20 янв.
- 47 просмотров
2

ответа
Node.js

+1 ещё

Простой
Как можно сделать всплывание окошка «отправить друзьям» в тг mini apps?
- 1 подписчик
- 20 янв.
- 49 просмотров
0

ответов
Показать ещё Загружается…

Разработчик Node.js (BackEnd) Middle +

Wanted.

от 250 000 до 330 000 ₽

Node.js Backend разработчик (удаленно)

IT Force

от 180 000 до 400 000 ₽

Node.js backend разработчик (Middle+/Senior)

DataLouna

от 3 000 до 4 500 $

Создать новый хабр фриланс

31 янв. 2025, в 06:03

9999999 руб./за проект

Создать новый хабр фриланс

31 янв. 2025, в 06:02

9999999 руб./за проект

Создать новый хабр фриланс

31 янв. 2025, в 06:02

9999999 руб./за проект

return await pool.query(`SELECT * from users WHERE $1=$2`, [column, value]) не работает?
Если тебе нужен такой запрос, значит схема БД плохая.
Либо ты делаешь что-то ну о-о-очень специфическое.
Но лично я склоняюсь к первой версии.
Kentavr16, и не должно исходя из смысла подготовленных выражений

Answer 1 · 2023-10-28 19:38:38

Да, параметризовать можно только значения но не наименование полей и таблиц (мало того ты и prepared запрос так не сможешь сделать, с каждым новым значением $(column) будет новый запрос).

Да, тебе придется валидировать значение в $(column) но это не сложно так как там допускаются только латинские буквы (оба регистра), цифры и подчеркивание. Конечно если ты не используешь идентификаторы_в_ковычках (там любые символы, но зачем тебе стрелять себе в ногу), ну в крайнем случае как разработчик ты знаешь что у тебя в запросе и какие допустимые наименования полей там могут быть

Как в предварительном запросе передать переменной $ значение полей?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт