您的位置:首页技术文章
文章详情页

安全性测试 - nodejs中如何防mySQL注入

浏览:164日期:2022-06-16 18:05:40

问题描述

如题,如能有具体示例或demo链接感激不尽

问题解答

回答1:使用escape()对传入参数进行编码

var userId = 1, name = ’test’;var query = connection.query(’SELECT * FROM users WHERE id = ’ + connection.escape(userId) + ’, name = ’ + connection.escape(name), function(err, results) { // ...});console.log(query.sql); // SELECT * FROM users WHERE id = 1, name = ’test’使用connection.query()的查询参数占位符

var userId = 1, name = ’test’;var query = connection.query(’SELECT * FROM users WHERE id = ?, name = ?’, [userId, name], function(err, results) { // ...});console.log(query.sql); // SELECT * FROM users WHERE id = 1, name = ’test’使用escapeId()编码SQL查询标识符

var sorter = ’date’;var sql = ’SELECT * FROM posts ORDER BY ’ + connection.escapeId(sorter);connection.query(sql, function(err, results) { // ...});使用mysql.format()转义参数

var userId = 1;var sql = 'SELECT * FROM ?? WHERE ?? = ?';var inserts = [’users’, ’id’, userId];sql = mysql.format(sql, inserts); // SELECT * FROM users WHERE id = 1

Ref: http://www.dengzhr.com/node-j...

PS: Google第一页就是答案

上一条:SQLAlchemy 访问Mysql数据库弹出Warning,VARIABLE_VALUE,如何解决?下一条:mysql中longtext存在大量数据时,会导致查询很慢?
相关文章:
1. mysql 字段索引的问题2. 能用Nginx服务小型购物网站的web吗?3. 在windows下安装docker Toolbox 启动Docker Quickstart Terminal 失败!4. 静态资源文件引入无效5. web - nginx location 搜索算法问题!?6. javascript - htaccess rewrite 的问题7. javascript - hammer.js panend 怎么区分是panleft 结束还是panright结束的?8. java 测试多线程执行时遇到的疑问?9. Java 中各种空(""、u0000、null)的区别?10. python - type="datetime-local" 的 input 如何通过 django form.is_valid() 校验
排行榜
mysql 字段索引的问题
mysql 字段索引的问题
1. 静态资源文件引入无效
2. 在windows下安装docker Toolbox 启动Docker Quickstart Terminal 失败!
3. 能用Nginx服务小型购物网站的web吗?
4. docker api 开发的端口怎么获取?
5. python - type="datetime-local" 的 input 如何通过 django form.is_valid() 校验
6. 在Java的单独一行中指定的URL不会发出编译时错误。为什么?
7. javascript - webpack 多入口文件生成HTML文件;
8. Java 中各种空(""、u0000、null)的区别?
9. android - java tm platform se binary 占用很多内存
10. web - nginx location 搜索算法问题!?
热门标签