Web SQL 不支持 XML 类型字段,XML 仅作 TEXT 存储且无结构校验;存前需 DOMParser+XMLSerializer 转义,查后需重新解析;推荐改用 JSON、IndexedDB 或服务端解析。
Web SQL 是基于 SQLite 的客户端数据库,它没有 XML 数据类型,所有数据都按 TEXT、INTEGER、REAL、BLOB 等 SQLite 原生类型处理。你存的 XML 实际上只是字符串——哪怕内容是格式良好的
这意味着:
、>、& 等,或用 DOMParser + XMLSerializer 预处理)
SELECT * FROM docs WHERE xml LIKE '%active %' —— 这种模糊匹配极不可靠,且无法利用索引)
句长度限制(尤其在旧版 Safari/iOS 中,executeSql 对参数长度敏感)直接把原始 XML 字符串传给 INSERT 会出问题:如果 XML 含单引号(')、双引号(")或未转义的 &,会导致 SQL 语法错误或注入风险。不要拼接 SQL 字符串。
正确做法是使用参数化查询,并确保输入已是安全字符串:
DOMParser 解析再用 XMLSerializer 序列化,可自动处理转义:const parser = new DOMParser();
const doc = parser.parseFromString(userInput, 'application/xml');
if (doc.documentElement.nodeName === 'parsererror') throw new Error('Invalid XML');
const serializer = new XMLSerializer();
const safeXml = serializer.serializeToString(doc);String.replace() 手动转义(仅作备用):xmlStr.replace(/&/g, '&').replace(//g, '>').replace(/"/g, '"').replace(/'/g, ''');
tx.executeSql('INSERT INTO xml_docs (id, content, created) VALUES (?, ?, ?)', [id, safeXml, Date.now()]);从 Web SQL 读出的 XML 是纯 TEXT 字段值,不是 DOM 对象。想取 done,必须手动解析:
DOMParser 是最兼容的方式(所有现代浏览器支持):const parser = new DOMParser();
const xmlDoc = parser.parseFromString(row.content, 'application/xml');
if (xmlDoc.querySelector('parsererror')) {
console.error('XML parse error in record', row.id);
} else {
const title = xmlDoc.querySelector('title')?.textContent;
}innerHTML 或 eval 处理 XML 字符串——既不安全,也无法保证命名空间或 CDATA 正确处理parseFromString 第二个参数必须是 'application/xml'(不是 text/xml 或空字符串),否则某些浏览器(如旧 Edge)会降级为 HTML 解析,破坏 XML 语义除非业务强依赖 XML 格式(如对接遗留 SOAP 接口、需保留注释/命名空间/CDATA),否则应优先考虑其他方式:
JSON.parse()/JSON.stringify(),体积更小,查询字段可拆到独立列(如 status TEXT, updated INTEGER),支持索引和 WHERE 条件Blob 存储,且无同源 SQL 大小限制Web SQL 本身已是废弃标准(Chrome 123+ 移除,Safari 仍支持但无更新),现在还用它存 XML,等于在技术债上叠技术债——真正难的从来不是“怎么存”,而是“以后怎么安全、高效地读和改”。
服务热线