安全性測試 - nodejs中如何防mySQL注入
問題描述
如題,如能有具體示例或demo鏈接感激不盡
問題解答
回答1:使用escape()對傳入參數進行編碼var userId = 1, name = ’test’;var query = connection.query(’SELECT * FROM users WHERE id = ’ + connection.escape(userId) + ’, name = ’ + connection.escape(name), function(err, results) { // ...});console.log(query.sql); // SELECT * FROM users WHERE id = 1, name = ’test’使用connection.query()的查詢參數占位符
var userId = 1, name = ’test’;var query = connection.query(’SELECT * FROM users WHERE id = ?, name = ?’, [userId, name], function(err, results) { // ...});console.log(query.sql); // SELECT * FROM users WHERE id = 1, name = ’test’使用escapeId()編碼SQL查詢標識符
var sorter = ’date’;var sql = ’SELECT * FROM posts ORDER BY ’ + connection.escapeId(sorter);connection.query(sql, function(err, results) { // ...});使用mysql.format()轉義參數
var userId = 1;var sql = 'SELECT * FROM ?? WHERE ?? = ?';var inserts = [’users’, ’id’, userId];sql = mysql.format(sql, inserts); // SELECT * FROM users WHERE id = 1
Ref: http://www.dengzhr.com/node-j...
PS: Google第一頁就是答案
相關文章:
1. java - Spring boot 讀取 放在 jar 包外的,log4j 配置文件,系統有創建日志文件,不寫入日志信息。2. javascript - QQ第三方登錄的問題3. javascript - 使用百度文本編輯器ueditor不顯示樣式問題4. 百度地圖api - Android 百度地圖點擊線路圖的問題?5. python 正則表達式提取6. html5 - 用h5本地存儲是否安全?7. 微信公眾號在線生成二維碼帶參數怎么搞?8. android - 優酷的安卓及蘋果app還在使用flash技術嗎?9. javascript - 最近用echarts做統計圖時遇到兩個問題!!10. javascript - webpack-dev-server和webpack沖突嗎
網公網安備