在node-mssql中使用参数化查询创建数据库的注意事项

在开发基于Microsoft SQL Server的Node.js应用时，node-mssql库是常用的数据库连接工具。然而，在使用ES6模板字符串或参数化查询执行CREATE DATABASE这类DDL语句时，开发者可能会遇到一些特殊问题。

参数化查询的限制

node-mssql库虽然提供了参数化查询功能，但并非所有SQL语句都支持参数化。特别是对于CREATE DATABASE这样的数据定义语言(DDL)语句，直接使用参数化查询会导致语法错误。这是因为SQL Server本身对DDL语句的参数化支持有限。

当尝试以下代码时：

const dbname = 'my_db';
await pool.request().query`CREATE DATABASE ${dbname}`;

系统会抛出"Incorrect syntax near '@param1'"错误，因为SQL Server无法识别这种参数化方式。

常见解决方案分析

1. 直接字符串拼接（不推荐）

await pool.request().query(`CREATE DATABASE [${dbname}]`);

这种方法虽然简单有效，但存在SQL注入风险，特别是在数据库名称来自用户输入时。

2. 使用动态SQL（推荐）

await pool.request().query`
    DECLARE @_dbname VARCHAR(128) = ${dbname};
    EXEC('CREATE DATABASE ' + @_dbname);`;

这种方法通过声明变量并构建动态SQL语句，既实现了参数化又避免了注入风险，是较为安全的解决方案。

3. 使用输入参数（不适用于DDL）

await pool.request()
    .input('dbname', sql.VarChar, dbname)
    .query('CREATE DATABASE @dbname');

这种方法同样会失败，因为SQL Server不允许在CREATE DATABASE语句中使用参数。

安全实践建议

1. 输入验证：即使使用动态SQL，也应验证数据库名称是否符合命名规范
2. 错误处理：捕获并妥善处理可能出现的错误
3. 权限控制：确保执行账户具有创建数据库的适当权限
4. 日志记录：记录数据库创建操作以备审计

扩展应用

类似的限制也存在于其他DDL操作中，如CREATE USER和CREATE LOGIN。对于这些操作，同样建议采用动态SQL的方式实现参数化。

理解这些限制和解决方案，可以帮助开发者在保证安全性的前提下，灵活使用node-mssql库完成各种数据库管理任务。