sequelize.query() 原生查询使用replacements 参数能防sql注入吗？

sequelize.query('SELECT * FROM projects WHERE status = ?',
  { replacements: ['active'], type: sequelize.QueryTypes.SELECT }
).then(projects => {
  console.log(projects)
})

像这里的status的值的查询？

zurmokeeper 1楼•6 年前作者

本人用sqlmap工具测试过，是可以防Sql注入的。欢迎大家的补充。

zy445566 2楼•6 年前

还是走mysql的预编译好，防注入，而且后续同类型的sql还省去了部分编译过程，以致后续同类型sql执行速度也会快一些

zurmokeeper 3楼•6 年前作者

@zy445566 因为项目已经是采用了sequelize这个中间件了，所以只能对症下药了。