如何解决防止在Node.js中进行SQL注入
node-MysqL
当您已经使用库时,该库将自动执行转义。参见https://github.com/felixge/node-
MysqL#escaping-query-values
解决方法
是否有可能以与PHP具有防止它们攻击的Prepared语句相同的方式来防止在Node.js(最好是使用模块)中进行SQL注入。
如果是这样,怎么办?如果没有, 那么有哪些示例 可以绕过我提供的代码(请参见下文)。
一些上下文:
我正在使用node-mysql模块制作一个包含Node.js+MySql的后端堆栈的Web应用程序。从可用性的角度来看,该模块很棒,但是它还没有实现类似于PHP的PreparedStatements的功能(尽管我知道它在待办事项上。
据我了解,PHP的预准备语句实现尤其有助于防止SQL注入。不过,我担心我的node.js应用程序可能会遭受类似的攻击,即使默认情况下提供了字符串转义(如下面的代码片段)。
node-mysql似乎是node.js最受欢迎的mysql连接器,所以我想知道其他人可能在做什么(如果有的话)来解决此问题-
甚至从一开始甚至与node.js都存在问题(由于涉及到用户/客户端输入,因此不确定如何实现)。
我是否应该 暂时切换到node-mysql-native,因为它确实提供了准备好的语句?我对此很犹豫,因为它似乎不像node-mysql那样活跃(尽管这可能意味着它已经完成了)。
这是用户注册代码的一部分,该代码使用了sanitizer模块以及node-mysql的准备好的类似语句的语法(如上所述,该字符进行了字符转义),以分别防止跨站点脚本和sql注入:
// Prevent xss
var clean_user = sanitizer.sanitize(username);
// assume password is hashed already
var post = {Username: clean_user,Password: hash};
// This just uses connection.escape() underneath
var query = connection.query('INSERT INTO users SET ?',post,function(err,results)
{
// Can a Sql injection happen here?
});
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。