如何解决ArcGIS JavaScript API 中的参数化查询
我正在尝试在 ArcGIS JavaScript API 中为 ArcGIS 图层查询构建 where 子句。我能找到的所有示例(包括在 where documentation 中)都鼓励您这样做:
query.where = "NAME = '" + stateName + "'";
我觉得这令人惊讶,因为我们似乎被鼓励编写易受 SQL injection bugs 影响的代码。这对我来说尤其重要,因为我的“stateName”完全不在我的控制范围内。这是原始用户输入。
看起来该库支持通过 parameterValues 属性进行查询参数化,但是我找不到有关如何使用它的示例,或者如何格式化我的查询以使其使用参数值。甚至文档也不包含任何示例。
那么我们如何创建正确参数化的查询?
旁注:我知道服务器管理员的工作可能是防止错误的查询造成损害,但是我问这个问题的一半原因也纯粹是为了避免错误和不正确解析的查询。
解决方法
According to ESRI,parameterValues 属性仅用于使用查询层。它不适用于此上下文。
所以答案是,不,当您只是在图层上运行查询时,您不能使用正确的 SQL 参数化。
我发现让您的查询至少更防弹的最好方法是使用这样的代码:
function sanitizeParameter(value) {
// We need to escape single quotes to avoid messing up SQL syntax.
// So all ' characters need to become ''
return value.split("'").join("''")
}
query.where = "NAME = '" + sanitizeParameter(stateName) + "'";
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
