orm2 如何 分页查询
虽然 喜欢 手写 语句 ,但是 也想用 orm 框架 ,就去 npm install orm ,结果 发现 文档 里面 貌似 分页 没说~~~~~求解
7 回复
不手写,不用orm,用函数传参数,然后用程序拼sql 格式1
var where=[
['city','=','010'],
['logintime','>',144334343],
['nickname','like','%xxx%']
];
// 格式2
var where={
'city|=':'010',
'logintime|>':14433343,
'nickname|like':'%xxxx%'
}
这两种格式哪种更好?
注入问题主要由于将参数直接与SQL拼接在一起而引起。 所以拼接的时候先行转义或者使用传参的方式就可以避免注入问题。 而 ORM 再千变万化也好,内部一样是通过生成SQL语句跟数据库交互的。 所以,对于注入无需畏之若虎。若情势所需,自行手动拼接也无不可。
@dingyong666 手动拼当然会注入,除非要求每个开发都有安全意识,实际上这是理想状况.团队水平参差不齐,所以需要外部统一格式,在模块内部进行处理 ,这样不管团队水平如何,才能保证代码质量 参数用array来传还是object格式,哪种更适合?
