【Node.js】mysql2 操作 MySQL 数据库
mysql 不支持 Promise, mysql2 支持 Promise,便于书写,不使用 Promise 可以用回调函数的形式代替。上述这段代码执行 2 个 sql 语句,其中,客户端的sql 恶意的删掉了数据库中的数据。Node.js 操作 MySQL 需要驱动,常见的驱动有 mysql 和 mysql2。被错误识别,可以使用 concat 进行拼接。mysql2/promise 使得所有操作
mysql2 的基本使用
Node.js 操作 MySQL 需要驱动,常见的驱动有 mysql 和 mysql2 。
db.config.yaml
db:
user: root
password: 'root'
host: localhost
port: 3306
database: my_db_01
mysql 不支持 Promise, mysql2 支持 Promise,便于书写,不使用 Promise 可以用回调函数的形式代替。
mysql2/promise 使得所有操作全部变成异步,避免使用回调。
import express from "express";
import fs from "fs";
import mysql2 from "mysql2/promise";
import jsyaml from 'js-yaml';
const app = express()
const yaml = fs.readFileSync('./db.config.yaml', 'utf8')
// 将yaml 解析为一个对象
const config = jsyaml.load(yaml)
// console.log(config)
// mysql2.createConnection({
// host: 'localhost',
// user: 'root',
// password: 'root',
// database: 'my_db_01'
// })
const sql = await mysql2.createConnection({
...config.db
})
app.get('/', async (req, res) => {
// query 方法接收两个参数 SQL 语句 和 回调函数(可选)
const [data] = await sql.query('select * from user')
res.send(data)
})
app.listen(3000, () => {
console.log('3000端口服务端已启动')
})
注意:异步请求数据库如果
import mysql2 from "mysql2";会报错:You have tried to call .then(), .catch(), or invoked await on the result of query that is not a promise, which is a programming error. Try calling con.promise().query(), or require ('mysql2/promise') instead of 'mysql2' for a promise-compatible version of the query interface.此时改为:import mysql2 from "mysql2/promise";即可
增删改查业务的实现:
import express from "express";
import fs from "fs";
import mysql2 from "mysql2/promise";
import jsyaml from 'js-yaml';
const app = express()
app.use(express.json())
const yaml = fs.readFileSync('./db.config.yaml', 'utf8')
// 将yaml 解析为一个对象
const config = jsyaml.load(yaml)
// console.log(config)
// mysql2.createConnection({
// host: 'localhost',
// user: 'root',
// password: 'hxg20021126',
// database: 'my_db_01'
// })
const sql = await mysql2.createConnection({
...config.db
})
//查询全部
app.get('/', async (req, res) => {
const [data] = await sql.query('select * from user')
res.send(data)
})
//单个查询
app.get('/user/:id', async (req, res) => {
// const [data] = await sql.query(`// select * from user where id=${req.params.id}`) //两种写法
const [data] = await sql.query(`select * from user where id = ?`, [req.params.id])
res.send(data)
})
//新增接口
app.post('/create', async (req, res) => {
const {name, age, address} = req.body
await sql.query(`insert into user(NAME, AGE, ADDRESS) values(?,?,?)`, [name, age, address])
res.send({ok: 1})
})
//编辑
app.post('/update',async (req,res)=> {
const {name, age, address,id} = req.body
await sql.query(`update user set NAME=?, AGE=?, ADDRESS=? where id=?`,[name, age, address,id])
res.send({ok: 1})
})
//删除
app.post('/delete',async (req,res)=> {
const {id} = req.body
await sql.query(`delete from user where id=?`,[id])
res.send({ok: 1})
})
app.listen(3000, () => {
console.log('3000端口服务端已启动')
})
sql.end() // 连接关闭
### 查询所有
GET http://localhost:3000/ HTTP/1.1
<> 2024-03-12T211116.200.json
### 查询单个
GET http://localhost:3000/user/1 HTTP/1.1
<> 2024-03-12T213049.200.json
<> 2024-03-12T213038.200.json
### 新增
POST http://localhost:3000/create HTTP/1.1
Content-Type: application/json
{
"name": "zhangsan",
"age": 12,
"address": "北京"
}
<> 2024-03-12T230815.200.json
### 更新
POST http://localhost:3000/update HTTP/1.1
Content-Type: application/json
{
"name": "lisi",
"age": 21,
"address": "上海",
"id": 4
}
<> 2024-03-12T231432.200.json
### 删除
POST http://localhost:3000/delete HTTP/1.1
Content-Type: application/json
{
"id": 4
}
<> 2024-03-12T231943.200.json
如果想使用模糊查询,有担心 ? 被错误识别,可以使用 concat 进行拼接。
select * from employee where \`name\` like concat('%', ? '%');
防止 sql 注入
上述这段代码执行 2 个 sql 语句,其中,客户端的 sql 恶意的删掉了数据库中的数据。
而且使用字符串拼接和 query 的方法可能会导致 sql 注入。
所以我们可以使用 execute 和 非字符串拼接的写法来防止 sql 注入。
拓展:这种
id=?的形式在 mybatis 中(#{id})生成的是预编译 sql 语句,而预编译的 sql 语句(id=?)可以防止 sql 注入。
使用连接池
连接池通过重用以前的连接来减少连接到MySQL服务器所花费的时间
当你用完后,它们会打开而不是关闭。连接池会自动回收和重用。
这改善了查询的延迟,因为避免了建立新连接所带来的所有开销。
腾讯云面向开发者汇聚海量精品云计算使用和开发经验,营造开放的云计算技术生态圈。
更多推荐
11
0- 0
已为社区贡献1条内容
所有评论(0)