文章讲述了如何在JavaScript中使用模板字符串和sql标签函数来构造安全的SQL查询,通过strings数组和...exps数组参数化查询。同时介绍了如何扩展标签函数实现数据库更新操作。
‘use strict’;
const email = “test@example.com”;
const password = ‘hello123’;
function sql(strings, …exps) {
console.log(SQL: ${strings.join('?')});
console.log(SQL parameters: ${JSON.stringify(exps)});
return {
name: ‘小明’,
age: 20
};
}
const result = sqlSELECT * FROM users WHERE email=${email} AND password=${password};
console.log(JSON.stringify(result));
SQL: SELECT * FROM users WHERE email=? AND password=?
SQL parameters: [“test@example.com”,“hello123”]
{“name”:“小明”,“age”:20}
sqlSELECT * FROM users WHERE email=${email} AND password=${password}
模板字符串前面以sql开头,实际上这是一个标签函数,上述语法会自动转换为对sql()函数的调用。我们关注的是,传入sql()函数的参数是什么。
sql()函数实际上接收两个参数:
第一个参数strings是一个字符串数组,它是[“SELECT * FROM users WHERE email=”, " AND password=", “”],即除去${xxx}剩下的字符组成的数组;
第二个参数…exps是一个可变参数,它接收的也是一个数组,但数组的内容是由模板字符串里所有的 x x x 的实际值组成,即 [ " t e s t @ e x a m p l e . c o m " , " h e l l o 123 " ] ,因为解析 {xxx}的实际值组成,即["test@example.com", "hello123"],因为解析 xxx的实际值组成,即["test@example.com","hello123"],因为解析{email}得到"test@example.com",解析${password}得到"hello123"。
标签函数sql()实际上是一个普通函数,我们在内部把strings拼接成一个SQL字符串,把…exps作为参数,就可以实现一个安全的SQL查询,并返回查询结果。此处并没有真正的数据库连接,因此返回一个固定的Object。
标签函数和普通函数的定义区别仅仅在于参数,如果我们想对数据库进行修改,完全可以定义一个标签函数如下:
function update(strings, …exps) {
let sql = strings.join(‘?’);
// 执行数据库更新
// TODO:
}
函数调用可以简化为带标签的模板字符串:
let id = 123;
let age = 21;
let score = ‘A’;
updateUPDATE users SET age=${age}, score=${score} WHERE id=${id};
扫一扫
881
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
