SQL-запросы в JS-коде, экранировать спецсимволы или нет?

Question

[valentine11]

Добрый день!
Автоматизирую процесс тестирования с Node.js и Selenium-wd.
Перед и после блоков тестов выполняются запросы к бд (создание предусловий или очистка бд).
Запросы хранятся в переменных в строковом виде.
Возникает проблема одинарых кавычек.
Поясню на примере:

needForReg = 'INSERT INTO `billing_payment_gateway` (--\
             `id`, `name`, `route`, `description`, `is_active`, `is_deleted`--\
			 ) VALUES (--\
			 1, 'interkassa', 'InterkassaGateway', '', 1, 0);'

Дойдя до 'interkassa' строка прервется и далее пойдет всякая ахинея.
Пока решила проблему экранированием кавычек:

needForReg = 'INSERT INTO `billing_payment_gateway` (--\
             `id`, `name`, `route`, `description`, `is_active`, `is_deleted`--\
			 ) VALUES (--\
			 1, \'interkassa\', \'InterkassaGateway\', \'\', 1, 0);'

Но это тольк часть запроса, и есть запросы куда более длинные, экранирование кавычек утомляет и вообще выглядит не очень.
Можно решить проблему элементарным заключением строки запроса в двойные кавычки. и мне это решение нравится.

needForReg = "INSERT INTO `billing_payment_gateway` (--\
             `id`, `name`, `route`, `description`, `is_active`, `is_deleted`--\
			 ) VALUES (--\
			 1, 'interkassa', 'InterkassaGateway', '', 1, 0);"

Но корректно ли оно? Что с безопасностью в таком случае? Или, может быть, есть решения для автоматического экранирования, если без него никак? Я в этом всем пока плаваю, знания очень поверхностные.

Comments

[Алексей Дугнист]

'Что с безопасностью в таком случае?' - а что с ней...? Вы же сами пользуетесь тестами, и никто с пользователей не сможет туда что-либо дописать...

[valentine11]

Алексей Дугнист: ну в том и дело, нужно ли вообще заморачиваться вопросами безопасности. Но ТЛ говорит экранировать, но что-то я в сомнениях...

[valentine11]

Алексей Дугнист: т.е. вы считаете, достаточно строки брать в двойные кавычки и всё?

[Алексей Дугнист]

"ТЛ говорит экранировать" всегда лучше делать как говорит тим лид... Экспериментировать будете в домашних условиях...) Даже если это будет ошибка (что бывает крайне редко) - это будет его ошибка...

Answer 1

[Дмитрий Беляев]

Двойные кавычки отличаются от одинарных лишь отсутствием перевода строк (нельзя экранировать новую строку).
Вполне можно вынести запросы в отдельные файлы с расширением .sql - так их и IDE будет подсвечивать синтаксис
считывать файлы в память можно при старте приложения в синхронном режиме, а чтоб файлов было не много можно реализовать парсер дабы в одном файле держать несколько запросов

Comments

[valentine11]

А я что-то наоборот их .sql-файла вынесла, мне показалось, так удобнее. Это моя первая работа с БД, да и вообще автотестами никто до меня не занимался, и я не знаю, как правильно все нужно организовывать.
Вы имеете в виду, на каждую группу запросов отдельный файл?
'а чтоб файлов было не много можно реализовать парсер дабы в одном файле держать несколько запросов ' - это, к сожалению, пока я не знаю, как реализовать. Я новичок во всем этом.

[Дмитрий Беляев]

valentine11: достаточно будет делить строку с запросами полученную из файла по определенному комментарию SQL, в идеале конечно еще сделать чтоб из комментария извлекался ключ для объекта с запросами

[Дмитрий Беляев]

valentine11: Если уж совсем для Вас это сложно, у меня в личке есть скайп, пишите, в выходные помогу с парсером

[valentine11]

Дмитрий Беляев: мне ничего не понятно, увы, из этого поста про делить строку по комментарию и пр.