安全性測試 - nodejs中如何防mySQL注入
問題描述
如題,如能有具體示例或demo鏈接感激不盡
問題解答
回答1:使用escape()對傳入參數進行編碼var userId = 1, name = ’test’;var query = connection.query(’SELECT * FROM users WHERE id = ’ + connection.escape(userId) + ’, name = ’ + connection.escape(name), function(err, results) { // ...});console.log(query.sql); // SELECT * FROM users WHERE id = 1, name = ’test’使用connection.query()的查詢參數占位符
var userId = 1, name = ’test’;var query = connection.query(’SELECT * FROM users WHERE id = ?, name = ?’, [userId, name], function(err, results) { // ...});console.log(query.sql); // SELECT * FROM users WHERE id = 1, name = ’test’使用escapeId()編碼SQL查詢標識符
var sorter = ’date’;var sql = ’SELECT * FROM posts ORDER BY ’ + connection.escapeId(sorter);connection.query(sql, function(err, results) { // ...});使用mysql.format()轉義參數
var userId = 1;var sql = 'SELECT * FROM ?? WHERE ?? = ?';var inserts = [’users’, ’id’, userId];sql = mysql.format(sql, inserts); // SELECT * FROM users WHERE id = 1
Ref: http://www.dengzhr.com/node-j...
PS: Google第一頁就是答案
相關文章:
1. mysql - 在不允許改動數據表的情況下,如何優化以varchar格式存儲的時間的比較?2. javascript - 網頁打印頁另存為pdf的代碼一個問題3. css3 - 純css實現點擊特效4. vim - docker中新的ubuntu12.04鏡像,運行vi提示,找不到命名.5. docker網絡端口映射,沒有方便點的操作方法么?6. css - chrome下a標簽嵌套img 顯示會多個小箭頭?7. java中返回一個對象,和輸出對像的值,意義在哪兒8. javascript - 關于apply()與call()的問題9. 推薦好用mysql管理工具?for mac和pc10. javascript - 有適合開發手機端Html5網頁小游戲的前端框架嗎?
網公網安備