переменных запросов в node.js

Question

Я пытаюсь изменить запрос на моей стороне сервера (Node.js), который выглядит следующим образом:

var http = require('http'); 
var query = "SELECT * FROM Users WHERE Email='Test.User@TestUser.com'"; 

Это жёстко запрос. Я пытаюсь сделать что-то вроде этого (электронная почта является переменной тянут в от текстовой области ввода в HTML-документ):

var http = require('http'); 
var query = "SELECT * FROM Users WHERE Email=" + "'" + email + "'"; 

Я использую JQuery, чтобы обработать запрос, как это из файла JavaScript:

$.ajax({ 
     url: "http://127.0.0.1:8000/", 
     type: "POST", 
     success: function(dataRcvd) { 
      alert(dataRcvd); 
     } 

Если я понять, как это сделать, я могу динамически обновлять var query с различными запросов SQL/хранимых процедур.

Answer 1

// server.js 
var http = require('http'); 
function handler(req, res){ 
    console.log('Server got '+req.body.email); 
    var query = "SELECT * FROM Users WHERE Email=" + "'" + req.body.email + "'"; 
    someAsyncSQLCall(query, function(rows){ 
    res.send(200, rows); 
    }); 
}; 

http.createServer(handler).listen(3000); 

//client.js 
$.ajax({ 
     url: "http://127.0.0.1:8000/", 
     type: "POST", 
     data: {email: 'value' }, 
     success: function(dataRcvd) { 
      alert(dataRcvd); 
     } 

Answer 2

Это невероятно плохая идея (конкатенация строк); любой может опубликовать атаку SQL-инъекций в вашей форме и отбросить вашу базу данных или сделать любое количество других гнусных вещей.

Я не уверен, какую БД вы используете, но у большинства из них есть способ выполнения параметризованных запросов, которые дезинфицируют вас от подобных атак.

Checkout node-postgres (pg module), в котором есть примеры того, как это сделать, если вы используете PostgreSQL.