安全性测试 - nodejs中如何防mySQL注入
问题描述
如题,如能有具体示例或demo链接感激不尽
问题解答
回答1:使用escape()对传入参数进行编码var userId = 1, name = ’test’;var query = connection.query(’SELECT * FROM users WHERE id = ’ + connection.escape(userId) + ’, name = ’ + connection.escape(name), function(err, results) { // ...});console.log(query.sql); // SELECT * FROM users WHERE id = 1, name = ’test’使用connection.query()的查询参数占位符
var userId = 1, name = ’test’;var query = connection.query(’SELECT * FROM users WHERE id = ?, name = ?’, [userId, name], function(err, results) { // ...});console.log(query.sql); // SELECT * FROM users WHERE id = 1, name = ’test’使用escapeId()编码SQL查询标识符
var sorter = ’date’;var sql = ’SELECT * FROM posts ORDER BY ’ + connection.escapeId(sorter);connection.query(sql, function(err, results) { // ...});使用mysql.format()转义参数
var userId = 1;var sql = 'SELECT * FROM ?? WHERE ?? = ?';var inserts = [’users’, ’id’, userId];sql = mysql.format(sql, inserts); // SELECT * FROM users WHERE id = 1
Ref: http://www.dengzhr.com/node-j...
PS: Google第一页就是答案
相关文章:
1. python - 如何将文本文件的CR换行符换成LF换行符?2. MongoDB的索引需要考虑每个键的索引方向,为何这么设计?而MySQL的索引则无需考虑方向,两者之间有何优劣势?3. python相关问题求解决,有偿4. mysql优化 - mysql 一张表如果不能确保字段列长度一致,是不是就不需要用到char。5. js怎样实现在类似qq的联系人分组中进行搜索后,又可恢复原分组的界面?6. python - scrapy-redis爬虫运行是连接redis数据库连接错误7. 怎样用python给mp3添加封面?8. python3.x - mongodb 显示不出中文,都是方块,该如何解决?9. TP6里多应用里如何开启调试跟踪10. linux - 【已解决】fabric部署的Python项目Apache启动之后提示403Forbidden该如何解决?