Теория: Плейсхолдеры

Как правило, запросы в базу формируются динамически на основе данных, которые поступают извне. Например, создание пользователя чаще всего происходит во время регистрации. В таком случае код вставки мог бы выглядеть например так:

const name = 'Tony Stark'
const phone = '+123456789'

await sql.unsafe`INSERT INTO users (username, phone) VALUES (${name1}, ${phone1})`

Составленные таким образом запросы несут в себе серьезную опасность — SQL-инъекции. Вместо обычных данных злоумышленник может отправить текст, который изменит SQL-запрос. Представьте, что внутри переменной хранилась бы такая строка:

const name = 'somename'
const phone = '); INSERT INTO users (username, phone) VALUES (\'i am hacker\', \'777777\''

await pool.query(sql.unsafe`
  INSERT INTO users (username, phone) VALUES (${name}, ${phone})
`)

В таком случае после подстановки мог бы получиться следующий запрос:

INSERT INTO users (username, phone) VALUES ('somename', '');
INSERT INTO users (username, phone) VALUES ('i am hacker', '777777');

Фактически, вместо одного запроса получилось два. Таким образом, злоумышленник может выполнить произвольный запрос в базу данных — то есть удалить, добавить или изменить все, что ему хочется.

В разработке существует правило «Никогда не доверяй пользовательским данным» — оно особенно важно в работе с базами данных. Любые данные перед вставкой нужно экранировать с помощью подготовленных запросов.

К счастью для нас библиотека умеет обрабатывать такие случаи, ничего специально для этого делать не нужно:

const name = 'somename'
const phone = '); INSERT INTO users (username, phone) VALUES (\'i am hacker\', \'777777\''

await pool.query(sql.unsafe`
  INSERT INTO users (username, phone) VALUES (${name}, ${phone})
`)

const result = await pool.query(sql.unsafe`
  INSERT INTO users (username, phone) VALUES (${name}, ${phone})
`)

console.log(result.rows) // =>
// [{
//   username: 'Tony Stark',
//   phone: "'); INSERT INTO users (username, phone) VALUES ('i am hacker', '777777"
// }]

Так же библиотека предоставляет функционал для формирования запросов с использованием массивов:

const ids = [1, 2, 3]
const result = await pool.query(sql.unsafe`
  SELECT * FROM users WHERE id IN (${sql.join(ids, sql`,`)})
`)

Метод join() позволяет объединять массивы значений в строку с использованием определенного разделителя. Обычно используется при создании списков значений для операторов IN.

Возврат идентификатора

Когда мы вставляем данные в базу, иногда нам нужно получить идентификатор вставленной записи и потом использовать его в коде. Это происходит, когда мы создаем какую-то сущность и хотим потом ее использовать, например, для формирования ссылок или вставки связанных записей.

Чтобы выполнить эту задачу, немного изменим запрос:

const name = 'Tony Stark'
const phone = '+123456789'

const { rows } = await pool.query(sql.unsafe`
  INSERT INTO users (username, phone) VALUES (${name}, ${phone}) RETURNING id
`)

console.log(rows[0].id) // => 1