我是否需要检查better-sqlite3命令的绑定参数格式

Question

看看这段使用better-sqlite3的代码

router.post('/auth', (req, res) => {
    var rc = req.params('code')
    var code_entry = db.prepare('SELECT * FROM pending_registrations WHERE code = ?').get(rc)
    if (code_entry === undefined) {
        res.send({ success: false })
    }

是否需要验证post查询的code参数的格式是否正确？如果输入不好，这段代码有可能出现故障吗？

Answer 1

SQL参数不需要格式化；它们不会插入到查询文本中，而是直接传递到数据库。(这是处理blobs的唯一实用方法，它实际上可以包含任何内容。)