f

Author: killagu

core/dal-runtime/src/TableSqlMap.ts

@@ -5,6 +5,8 @@ import { TemplateUtil } from './TemplateUtil';
 import { SqlType } from '@eggjs/tegg-types';
 import type { SqlMap } from '@eggjs/tegg-types';
 
+const SQL_PARAMS = '$$__sql_params';
+
 export interface SqlGenerator {
   type: SqlType;
   template: Template,
@@ -49,8 +51,8 @@ export class TableSqlMap {
 
     // Add param filter for parameterized queries
     env.addFilter('param', function(this: Template, value: any) {
-      if ((this as any).env.$$params) {
-        (this as any).env.$$params.push(value);
+      if ((this as any).ctx[SQL_PARAMS]) {
+        (this as any).ctx[SQL_PARAMS].push(value);
       }
       return '?';
     });
@@ -101,12 +103,13 @@ export class TableSqlMap {
 
     // Set timezone and params collector on env
     (template as any).env.timezone = timezone;
-    (template as any).env.$$params = params;
 
-    const sql = template.render(data);
+    const context = {
+      ...data,
+      [SQL_PARAMS]: params,
+    };
 
-    // Clean up params collector
-    delete (template as any).env.$$params;
+    const sql = template.render(context);
 
     return { sql, params };
   }

plugin/dal/README.md

@@ -612,7 +612,7 @@ export default class FooDAO extends BaseFooDAO {
 
 **param 过滤器**
 
-`param` 过滤器用于将值作为参数化查询参数，而不是直接拼接到 SQL 字符串中。这可以有效防止 SQL 注入攻击，并支持使用数据库的预编译语句功能。
+`param` 过滤器用于将值作为参数化查询参数，而不是直接拼接到 SQL 字符串中。可以有效利用到 sql parameters 的能力，小幅提升 db 性能与观测能力。
 
 使用示例：
 
@@ -633,8 +633,6 @@ export default {
 生成的 SQL：`SELECT ... FROM egg_foo WHERE name = ? AND age > ?`
 参数数组：`['John', 18]`
 
-**注意**：建议在所有用户输入的值上使用 `param` 过滤器，以确保安全性。
-
 支持自定义 block 来简化 sql, 如内置的 allColumns
 
 ```ts