从HTML注入安全 使用标记的模板文字进行查询，例如 db . query ( sql `SELECT * FROM users WHERE id= ${ userID } ` ) ; 使得SQL Injection攻击几乎不可能被忽视。 所有databases库都强制使用sql标记的模板文字，因此您不会意外遗漏它们。 然后将查询作为单独的字符串和值传递到数据库引擎： { text : 'SELECT * FROM users WHERE id=?' , values : [ userID