在数据库查询时经常会遇到根据传入的参数查询内容的情况，传入的参数有可能会带有恶意代码，比如or 1=1，这样where判断为true，就会返还所有的记录。为了解决这个问题，可以在参数外面包一层单引号，pgsql有扩展包pg-promise来解决,使用方式如下：

import * as PostgresUtil from 'pg-promise'PostgresUtil.as.format('table_a.name = $1 AND table_a.josndata = $2', ['Tom', {age: 100}]) // table_a.name = 'Tom' AND table_a.josndata = '{\"age\": 100}'

可以看到返回的sql语句中参数是增加了单引号的