SS
Aleksandr
а как? Конкретно в этом случае
это надо придумывать, но раз у тебя там нет функции перобразования в SQL сткроку, то возможны любые манипуляции
Size: a a a
2020 November 20
A
Sergiy Shatunov
это надо придумывать, но раз у тебя там нет функции перобразования в SQL сткроку, то возможны любые манипуляции
"SELECT * FROM exhibits WHERE title ILIKE '%" + req.params.title + "%'"
а это же в строку преобразует, разве нет?
а это же в строку преобразует, разве нет?
SS
Aleksandr
"SELECT * FROM exhibits WHERE title ILIKE '%" + req.params.title + "%'"
а это же в строку преобразует, разве нет?
а это же в строку преобразует, разве нет?
на самом деле нет
A
а епт, обожаю код в телеге
A
там в массив в конце
KS
Aleksandr
а епт, обожаю код в телеге
обернуть в три обратные кавычки.
A
return this
A
ну да, момноспейс, но все равно не очень
SS
меня эти кавычки, на самом деле, достают
A
Sergiy Shatunov
на самом деле нет
что нет, как нет?
SS
и я не помню про обратные кавычки в sql, они там есть?
A
Sergiy Shatunov
и я не помню про обратные кавычки в sql, они там есть?
он про телегу
SS
так в телеге это типа как выделение кода
KS
Sergiy Shatunov
на самом деле нет
ты сырой запрос без буфера напрямую в базу херачишь
KS
A
это мне?\
SS
в bash и perl обратные апострофы это вызов кода, в sql это может работать аналогично
KS
Aleksandr
это мне?\
да
A
хм, а если оттуда массив убрать тоже как то можно ломануть?
SS
Aleksandr
хм, а если оттуда массив убрать тоже как то можно ломануть?
есть специальные функции для преобразования строки в безопасный вид, надо ими пользоваться