安全性测试 - nodejs中如何防mySQL注入
问题描述
如题,如能有具体示例或demo链接感激不尽
问题解答
回答1:使用escape()对传入参数进行编码var userId = 1, name = ’test’;var query = connection.query(’SELECT * FROM users WHERE id = ’ + connection.escape(userId) + ’, name = ’ + connection.escape(name), function(err, results) { // ...});console.log(query.sql); // SELECT * FROM users WHERE id = 1, name = ’test’使用connection.query()的查询参数占位符
var userId = 1, name = ’test’;var query = connection.query(’SELECT * FROM users WHERE id = ?, name = ?’, [userId, name], function(err, results) { // ...});console.log(query.sql); // SELECT * FROM users WHERE id = 1, name = ’test’使用escapeId()编码SQL查询标识符
var sorter = ’date’;var sql = ’SELECT * FROM posts ORDER BY ’ + connection.escapeId(sorter);connection.query(sql, function(err, results) { // ...});使用mysql.format()转义参数
var userId = 1;var sql = 'SELECT * FROM ?? WHERE ?? = ?';var inserts = [’users’, ’id’, userId];sql = mysql.format(sql, inserts); // SELECT * FROM users WHERE id = 1
Ref: http://www.dengzhr.com/node-j...
PS: Google第一页就是答案
相关文章:
1. docker - 如何修改运行中容器的配置2. 网页爬虫 - Python:爬虫的中文编码问题?3. javascript - 关于Js中 this的一道题4. javascript - 修改表单多选项时和后台同事配合的问题。5. ubuntu 远程管理KVM设置问题6. javascript - H5页面怎么查看console信息?7. thinkjs - 使用mysql搭建cms应该如何设计表?或怎样开始?8. css - 手机页面在安卓和苹果浏览器显示不同的小小问题9. javascript - vue生成一维码?求助!!!!!急10. angular.js - angularjs如何动态改变ng-model值,在controller中获取input中输入的值并组合post发送到后台
网公网安备