Я использую node-postgres для производственного приложения, и мне интересно, есть ли что-нибудь, о чем я должен беспокоиться? Являются ли данные автоматически дезинфицированными на node-postgres?Выполняет ли pg (node-postgres) автоматическую дезинфекцию данных
Я не мог найти ничего об этом на странице GitHub: https://github.com/brianc/node-postgres
Это зависит от того, как вы выполняете ваши запросы:
Форматирование через Prepared Statements выполняется сервером, который, в свою очередь, дезинфицирует ваш запрос от любой инъекции SQL. Но у него есть другие ограничения, например, вы не можете выполнять более одного запроса за раз, и при необходимости вы не можете предоставлять непринятые имена сущностей.
Обычное форматирование запросов дезинфицировано для значений, и, хотя оно обеспечивает гибкость в форматировании имен сущностей и нескольких запросов, оно не обеспечивает защиту от SQL-инъекции.
Абсолютно! Параметрированная поддержка запросов в узлах-postgres является первым классом. Все Экранирование осуществляется сервером PostgreSQL, обеспечивая правильное поведение на всех диалектах, кодировок и т.д ... Так, например, это не будет вводить SQL:
Это от их documentation.