如何正确转义node-postgres中JSONB深度查询的参数
在使用 node-postgres 进行 JSONB 数据类型的深度查询时,正确地转义参数是非常重要的,以避免 SQL 注入攻击并确保查询的正确性。以下是一些基础概念和相关步骤,帮助你正确地进行 JSONB 深度查询的参数转义。
基础概念
- JSONB: JSONB 是 PostgreSQL 中的一种数据类型,用于存储 JSON 数据的二进制格式。它比 JSON 类型更高效,特别是在查询和索引方面。
- 深度查询: 指的是在 JSONB 数据中进行嵌套字段的查询。例如,查询一个嵌套的对象或数组中的特定值。
- 参数转义: 在构建 SQL 查询时,对动态输入的参数进行适当的转义,以防止 SQL 注入攻击。
相关优势
- 安全性: 正确转义参数可以有效防止 SQL 注入攻击。
- 可维护性: 使用参数化查询使代码更清晰,易于维护。
- 性能: 参数化查询可以被数据库优化器更好地处理,从而提高查询性能。
类型与应用场景
- 类型: 主要涉及字符串、数字、布尔值等基本类型,以及嵌套的 JSON 对象和数组。
- 应用场景: 适用于需要存储和查询复杂结构化数据的场景,如配置管理、日志记录、用户数据存储等。
示例代码
以下是一个使用 node-postgres 进行 JSONB 深度查询的示例,展示了如何正确转义参数:
const { Client } = require('pg');
async function run() {
const client = new Client({
user: 'your_user',
host: 'your_host',
database: 'your_database',
password: 'your_password',
port: 5432,
});
await client.connect();
// 假设我们要查询的 JSONB 字段名为 data,嵌套路径为 "user.name",值为 "John Doe"
const searchValue = 'John Doe';
const jsonPath = 'user.name';
// 构建参数化查询
const query = {
text: `SELECT * FROM your_table WHERE data @> $1`,
values: [`{"${jsonPath}": "${searchValue}"}`],
};
try {
const res = await client.query(query);
console.log(res.rows);
} catch (err) {
console.error(err);
} finally {
await client.end();
}
}
run();解决常见问题
1. SQL 注入风险
原因: 直接拼接用户输入到 SQL 查询中。
解决方法: 使用参数化查询,如上例所示。
2. 查询结果不正确
原因: 参数转义不正确或 JSON 路径错误。
解决方法: 确保 JSON 路径正确,并使用 @> 操作符进行深度查询。
3. 性能问题
原因: 复杂的嵌套查询可能导致性能下降。
解决方法: 使用合适的索引(如 GIN 索引)来优化查询性能。
总结
通过上述方法,你可以安全且高效地进行 JSONB 数据的深度查询。确保始终使用参数化查询来避免安全风险,并根据需要优化查询性能。
相关·内容
当绕过对象关系映射直接查询node-postgres时,有一堆奇怪的边缘问题需要牢记。例如,您可能已经遇到过这样的情况,即camelCaseColumns必须用双引号括起来,而且参数化类型转换… client.query(`SELECT id, "authorFirstName", "authorLastName1444723448]`)
client.query(`SELECT id FROM books WHERE "authorLastName" =
浏览 21提问于2021-09-06得票数 0
我还需要转义I,因为它们可能来自不受信任的来源,尽管我实际上会转义查询中的任何内容,而不管来源的可信度如何。node-postgres似乎只使用绑定参数:client.query('SELECT * FROM table WHERE id = $1', [ id ]);如果我有一个已知数量的值(client.query根据数组中的项数动态构建<
浏览 3提问于2012-05-23得票数 96
回答已采纳
我有一个简单的查询来检查jsonb对象中是否存在键我在这个查询中遇到了两个问题:
1)如果我将'foo'作为$1传递,它工作得很好,但使用"'foo'"和"'foo'->'bar'"传递失败。所以我不知道怎样才能达到深
浏览 0提问于2016-03-02得票数 3
我正在使用node-postgres选择数据并将其插入到postgres中。我有一些jsonb类型的列,我正在使用下面的查询从db获取这些列 return SELECT empId, empData FROM employee WHERE empId= $1;其中empData是列的jsonb类型。下面是使用上述查询的代码片段。这是在nodejs中读取postgreas数据库<
浏览 3提问于2021-09-18得票数 1
作为占位符的代码中,有相当多的原始SQL文本,例如 id users name = ?转换成$1这样的postgres风格的运算符。
有没有办法让node-postgres接受问号,或者是一个可以转换为postgres样式参数的实用工具?请注意,某种基于正则表达式的黑客攻击是不可接受的,因为问号可以包含在引号内,也可以将反斜杠转义</em
浏览 2提问于2016-08-01得票数 2
3回答
在jsonb上的本机SQL查询中
、、、、
我需要对Postgres jsonb列发出一个select查询: "select * from table where jsonbcol怎样才能正确地打电话?
浏览 1提问于2021-03-12得票数 6
回答已采纳
2回答
假设我有一个类似cars的表,其中内部是一个JSONB对象,指定了可能的自定义:| id | customizations(即ILIKE)查询某个定制,我可以这样做: SELECT 1 FROM JSONB_EACH_TEXT("customizations重要的是将搜索项(示例<em
浏览 1提问于2021-03-28得票数 0
回答已采纳
我如何递归地扁平postgres中嵌套的jsonb,它不知道每个深度的深度和字段?(见下文示例) "type": "xxx" }我在堆栈溢出中搜索过,但是他们只
浏览 4提问于2017-08-09得票数 8
回答已采纳
我需要执行以下查询:似乎node-postgres没有替换$1参数如果我将行更改为:但是现在,当查询包含单引号(')时,我遇到了问题。我是否应该使用正则表达式替换所有的单引号(就像在query
浏览 6提问于2019-10-24得票数 1
回答已采纳
2回答
如果我有一个名为value的jsonb列,其中的字段如下: "tags": ["principal", "reversal", "interest"],,, etc}
我如何找到包含给定标签的所有记录,例如:如果给定:["reversal", "interest&
浏览 0提问于2016-09-14得票数 3
回答已采纳
2回答
在我的Postrges表中,我有一个列reason,它是一个varchar,我需要使用它的vaue来填充一个jsonb列reasons。我使用的查询如下:SET reasons = ('{"' || reason || '": ' || amount::text || '}')::jsonb
我收到一个错误,告诉我我需要转义0x09 (制表符)字
浏览 1提问于2015-12-04得票数 2
回答已采纳
Postgres数据库中有一列存储jsonb类型值。其中一些值是原始字符串(不是列表或字典)。问题是对于已经是字符串的值,从jsonb到text的转换会在值的开头和结尾添加额外的转义双引号。我不希望regex查询中包含这些内容。我理解Postgres为什么要这么做,但是,如果假设jsonb字段中存储的所有值都是jsonb字符串,那么这里有工作吗?我知道您可以使用-
浏览 13提问于2022-04-11得票数 2
我正在将node-postgres用于生产应用程序,我想知道是否有什么我应该关注的问题?数据是否由node-postgres自动清理
我在github页面上找不到任何关于它的东西:
浏览 0提问于2017-01-04得票数 18
回答已采纳
2回答
我正在尝试通过psql将exiftool生成的JSON插入到postgresql中,这似乎是有效的。不知何故,转义的单引号和转义的双引号似乎无法正常工作。我不知道如何正确地转义json。看起来psql没有正确处理单引号转义,因为它将\“引导到psql而不是查询。给定此表这些工作:
浏览 3提问于2016-02-28得票数 8
回答已采纳
所以要求是这个查询在CLI中运行得很好。like_regex "#finance" flag "i"';
我想要<e
浏览 4提问于2021-01-19得票数 1
1回答
我在这里也看到过类似的帖子,但我的情况与我目前所发现的略有不同。我试图用参数调用postgres函数,这些参数可以在函数逻辑中利用,因为它们与jsonb查询有关。下面是我试图用参数重新创建的查询的一个例子。我可以在PGAdmin中很好地运行这个查询,但是到目前为止,我在函数中运行"my“和"user@generic.com”值
浏览 0提问于2016-03-02得票数 0
回答已采纳
客户端可以在固定列中存储数据,并将任何JSON作为存储在JSONB列中的不透明数据提供。这个JSONB</
浏览 2提问于2020-08-06得票数 1
我将数据存储在jsonb字段中,如下所示: __tablename__ = 'test' data = Column(JSONB){depth: [0.0, 0.01, 0.02, 0.03, 0.04, 0.05, 0.06]}我想确定每条记录的最大深度,并在原始SQL中提出了以下查
浏览 7提问于2015-10-19得票数 3
回答已采纳
我有一张带有JSONB字段的桌子:───double precision │ not null star_pu │ jsonb│
我希望按日期检索各种属性的求和值,包括JSONB数组中的</em
浏览 8提问于2016-02-01得票数 0
回答已采纳
1回答
以下针对多模式PostgreSQL (v.12) DB的SQL语句是完全有效的,并且达到了预期的结果。UPDATE schema."Some_table_name" SET jsonb_col = jsonb_set(jsonb_col, '{path,to,key}', '"string value"') WHERE id
浏览 1提问于2020-11-17得票数 3
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
腾讯会议
云直播活动推荐
腾讯云开发者
