您的位置:首页技术文章
文章详情页

安全性测试 - nodejs中如何防mySQL注入

浏览:147日期:2022-06-16 18:05:40

问题描述

如题,如能有具体示例或demo链接感激不尽

问题解答

回答1:使用escape()对传入参数进行编码

var userId = 1, name = ’test’;var query = connection.query(’SELECT * FROM users WHERE id = ’ + connection.escape(userId) + ’, name = ’ + connection.escape(name), function(err, results) { // ...});console.log(query.sql); // SELECT * FROM users WHERE id = 1, name = ’test’使用connection.query()的查询参数占位符

var userId = 1, name = ’test’;var query = connection.query(’SELECT * FROM users WHERE id = ?, name = ?’, [userId, name], function(err, results) { // ...});console.log(query.sql); // SELECT * FROM users WHERE id = 1, name = ’test’使用escapeId()编码SQL查询标识符

var sorter = ’date’;var sql = ’SELECT * FROM posts ORDER BY ’ + connection.escapeId(sorter);connection.query(sql, function(err, results) { // ...});使用mysql.format()转义参数

var userId = 1;var sql = 'SELECT * FROM ?? WHERE ?? = ?';var inserts = [’users’, ’id’, userId];sql = mysql.format(sql, inserts); // SELECT * FROM users WHERE id = 1

Ref: http://www.dengzhr.com/node-j...

PS: Google第一页就是答案

上一条:SQLAlchemy 访问Mysql数据库弹出Warning,VARIABLE_VALUE,如何解决?下一条:mysql中longtext存在大量数据时,会导致查询很慢?
相关文章:
1. html - 爬虫时出现“DNS lookup failed”,打开网页却没问题,这是什么情况?2. javascript - echart+百度地图3. 无效的配置对象已使用与API模式不匹配的配置对象初始化了Webpack4. web - Rails3使用form_for时出现undefined method `*_path’错误。5. css - autoprefixer没有添加web-kit前缀6. javascript 开发百度地图7. nginx - 关于vue项目部署到ngnix后出现的问题8. angular.js - 百度爬虫如何处理“#”符号?9. nosql - mongodb 多组数据不固定字段查询问题 [百度党请绕道]10. font-family - 我引入CSS3自定义字体没有效果?
排行榜
html - 爬虫时出现“DNS lookup failed”,打开网页却没问题,这是什么情况?
html - 爬虫时出现“DNS lookup failed”,打开网页却没问题,这是什么情况?
1. javascript - echart+百度地图
2. css - autoprefixer没有添加web-kit前缀
3. 无效的配置对象已使用与API模式不匹配的配置对象初始化了Webpack
4. web - Rails3使用form_for时出现undefined method `*_path’错误。
5. javascript 开发百度地图
6. nginx - 关于vue项目部署到ngnix后出现的问题
7. angular.js - 百度爬虫如何处理“#”符号?
8. nosql - mongodb 多组数据不固定字段查询问题 [百度党请绕道]
9. font-family - 我引入CSS3自定义字体没有效果?
10. javascript - 将图片拖进canvas
热门标签