Sự thật về cú pháp SQL trong Next.js 14, tôi đã tìm thấy một điều tuyệt vời. 

Em đang tham khảo sql inject , thấy hay quá a

công nhận họ giỏi thật , từ mkt cho đến code , 1 pha giới thiệu mà cả cộng đồng chú ý =)))

Đang ứng dụng cho 1 site thống kê nho nhỏ viết mấy cái procedure thống kê trên sql next query hiển thị cugnx tiện phết

Cú pháp này ng ta dùng rất nhiều rồi như grapgql, styled componet

Tuyệt vời, mà nếu anh demo trường hợp sử dụng biến ${slug} nữa thì rõ ràng hơn anh

sao tấn công được hàm nhận vô biến thì nó lọc ra ký tự đặc biệt rồi mới thực thi sql thì sao tấn công được

NextJS 14 cố tình đưa tham số là câu lệnh SQL để câu tương tác marketing mà, hàm sql đó là mình tự define, thực tế thì tính năng này giúp mình đỡ phải viết api route

Em chợt nhận ra cái cú pháp này giống với hàm $queryRaw của Prisma ORM. Nó sử dụng cú pháp tagged template để generate sẵn prepared statement, chỉ chừa lỗ trống để truyền giá trị. Bản chất SQL injection xảy ra do cộng chuỗi. Nếu bỏ qua việc cộng chuỗi mà tiến tới tạo prepared statement thì sẽ tránh được SQL injection. Cảm nhận của em về Next.js 14: Cả React team và Next.js team dường như đang đánh cược vào hướng đi server-side cho React. Trong hệ sinh thái của Vercel có dịch vụ Edge Function. Theo em hiểu thì nó như là serverless. Các server components có thể được render ở nhiều server khác nhau mà không nhất thiết phải chỉ định 1 cái web server như cách làm truyền thống. Điều đó có nghĩa là hệ thống có thể tự scale và phân bố trên phạm vi toàn cầu, giúp giảm độ trễ khi truy cập từ mọi nơi trên thế giới. Mà để phân tán được server components thì server actions cũng phải được bao bọc trong component và thực thi đơn lẻ trên server sở tại. Cache cũng diễn ra trong phạm vi component luôn. Đó là lí do vì sao Next.js đẩy mạnh phát triển server actions như vậy. Em nghĩ cần một thời gian dài để Next.js thay đổi được thói quen phát triển phần mềm của cộng đồng. Trừ phi có những ông lớn khác nhảy vào cuộc chơi với Edge. Ví dụ như WebAssembly (Wasm) có Wasmer Edge. Nhiều công nghệ có thể build ra wasm như Go, Rust, Python, Node.js,... Em đoán vậy chứ em cũng chẳng hiểu gì về wasm cả.

Trong thực tế e nghĩ dù có làm được sql đi chăng nữa cũng không ai làm theo concept đó cả. Không nói đến việc hàm sql kia hoạt động ra sao. Có lẽ hình ảnh đó là 1 cách pr. Còn lại vẫn chưa thấy sự khác biệt của next 13 và 14 Next js có lẽ chỉ nên làm thế mạnh của nó là server side render hơn là đào sâu thêm cả xử lý backend call đến db được các thứ. Làm thế như là 1 khối mvc vậy :((

nghĩ đến jsx mà lẫn sql trong đó là thấy sai sai rồi 😥 một thời chầm kẽm vì mấy dự án php thời sinh viên

vẫn không hiểu cho lắm, hàm đó nó xử lý kiểu gì để không bị tấn công, chứ làm vậy chỉ tổ làm lộ hết câu sql để người khác khai thác rồi còn đâu

Chắc gọi qua ORM

người ta chế nhạo không phải vì cái sql injection đâu anh ạ :(

Nẽ JS đã lên tầm cao mới "tiến hoá ngược" về PHP ^^