iis服务器助手广告广告

扫码关注官方微信

扫码下载APP
返回顶部
首页 > 资讯 > 数据库 >express.js如何做mysql注入与node-mysql中防止SQL注入方法解析
  • 397

0
分享到

express.js如何做mysql注入与node-mysql中防止SQL注入方法解析

expressmysql防注入SQL注入node-mysql 2023-05-18 14:05:01 397人浏览 薄情痞子
摘要

大家都知道sql注入对于网站或者服务器来讲都是一个非常危险的问题,如果这一方面没处理好的话网站可能随时给注入了,所以这篇文章就给大家总结了node-Mysql中防止SQL注入的几种常

大家都知道sql注入对于网站或者服务器来讲都是一个非常危险的问题,如果这一方面没处理好的话网站可能随时给注入了,所以这篇文章就给大家总结node-Mysql中防止SQL注入的几种常用做法,有需要的朋友们可以参考借鉴。

SQL注入简介

SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库

node-mysql中防止SQL注入

为了防止SQL注入,可以将SQL中传入参数进行编码,而不是直接进行字符串拼接。在node-mysql中,防止SQL注入的常用方法有以下四种:

方法一:使用escape()对传入参数进行编码:

参数编码方法有如下三个:

mysql.escape(param)
connection.escape(param)
pool.escape(param)

例如:

var userId = 1, name = 'test';
var query = connection.query('SELECT * FROM users WHERE id = ' + connection.escape(userId) + ', name = ' + connection.escape(name), function(err, results) {
// ...
});
console.log(query.sql); // SELECT * FROM users WHERE id = 1, name = 'test'

escape()方法编码规则如下:

Numbers不进行转换;

Booleans转换为true/false;

Date对象转换为'YYYY-mm-dd HH:ii:ss'字符串;

Buffers转换为hex字符串,如X'0fa5';

Strings进行安全转义;

Arrays转换为列表,如[‘a', ‘b']会转换为'a', ‘b';

多维数组转换为组列表,如[[‘a', ‘b'], [‘c', ‘d']]会转换为'a', ‘b'), (‘c', ‘d');

Objects会转换为key=value键值对的形式。嵌套的对象转换为字符串;

undefined/null会转换为NULL;

MySQL不支持NaN/Infinity,并且会触发MySQL错误。

方法二:使用connection.query()的查询参数占位符:

可使用 ? 做为查询参数占位符。在使用查询参数占位符时,在其内部自动调用connection.escape()方法对传入参数进行编码。

如:

var userId = 1, name = 'test';
var query = connection.query('SELECT * FROM users WHERE id = ?, name = ?', [userId, name], function(err, results) {
// ...
});
console.log(query.sql); // SELECT * FROM users WHERE id = 1, name = 'test'

上面程序还可以改写成如下:

var post = {userId: 1, name: 'test'};
var query = connection.query('SELECT * FROM users WHERE ?', post, function(err, results) {
// ...
});
console.log(query.sql); // SELECT * FROM users WHERE id = 1, name = 'test'

方法三: 使用escapeId()编码SQL查询标识符:

如果你不信任用户传入的SQL标识符(数据库、表、字符名),可以使用escapeId()方法进行编码。最常用于排序等。

escapeId()有如下三个功能相似的方法:

mysql.escapeId(identifier)
connection.escapeId(identifier)
pool.escapeId(identifier)

例如:

var sorter = 'date';
var sql = 'SELECT * FROM posts ORDER BY ' + connection.escapeId(sorter);
connection.query(sql, function(err, results) {
// ...
});

方法四: 使用mysql.fORMat()转义参数:

准备查询,该函数会选择合适的转义方法转义参数  mysql.format()用于准备查询语句,该函数会自动的选择合适的方法转义参数。

例如:

var userId = 1;
var sql = "SELECT * FROM ?? WHERE ?? = ?";
var inserts = ['users', 'id', userId];
sql = mysql.format(sql, inserts); // SELECT * FROM users WHERE id = 1

总结对比一下,个人比较喜欢实用方法二中的查询参数占位符方法,使用起来比较简单方便,避免了一堆转义相关的操作。对比来说,如果直接使用SQL语句,则在变量拼接的过程中往往会出现一些转义的问题而导致报错,使用查询参数占位符则不会出现这类问题。

您可能感兴趣的文档:
点击免费下载>>软考高级考试备考技巧/历年真题/备考精华资料

--结束END--

本文标题: express.js如何做mysql注入与node-mysql中防止SQL注入方法解析

本文链接: https://www.lsjlt.com/news/212105.html(转载时请注明来源链接)

有问题或投稿请发送至: 邮箱/279061341@qq.com    QQ/279061341

本篇文章演示代码以及资料文档资料下载

下载Word文档到电脑,方便收藏和打印~

下载Word文档
去做题
猜你喜欢
  • express.js如何做mysql注入与node-mysql中防止SQL注入方法解析
    大家都知道SQL注入对于网站或者服务器来讲都是一个非常危险的问题,如果这一方面没处理好的话网站可能随时给注入了,所以这篇文章就给大家总结了node-mysql中防止SQL注入的几种常...
    99+
    2023-05-18
    express mysql 防注入 SQL 注入 node-mysql
  • node-mysql中怎么防止SQL注入
    node-mysql中怎么防止SQL注入,很多新手对此不是很清楚,为了帮助大家解决这个难题,下面小编将为大家详细讲解,有这方面需求的人可以来学习下,希望你能有所收获。SQL注入简介SQL注入是比较常见的网络...
    99+
    2024-04-02
  • mysql中如何防止sql注入
    mysql中防止sql注入的方法:构造execute参数列表,让模块自动拼装查询字符串,从而防止sql注入的效果,例如:# 安全方式find_name = input("请输入您要查询产品的名称:")# 构造参数列表params = [fi...
    99+
    2024-04-02
  • mysql防止sql注入的方法
    这篇文章将为大家详细讲解有关mysql防止sql注入的方法,小编觉得挺实用的,因此分享给大家做个参考,希望大家阅读完这篇文章后可以有所收获。 SQL Injection攻击具有很大的危害,攻击者可...
    99+
    2024-04-02
  • 如何防止在MySQL中发生SQL注入
    使用参数化查询:使用参数化查询可以防止用户输入的数据被直接拼接到SQL语句中,从而避免SQL注入攻击。 过滤用户输入:对用户...
    99+
    2024-04-09
    MySQL
  • mysql预处理如何防止sql注入
    mysql预处理防止sql注入的方法:预处理的语法://发送一条sql给mysql服务器,mysql服务器会解析这条sql  $pdo->prepare('select * from b...
    99+
    2024-04-02
  • Python中如何防止sql注入
    sql注入中最常见的就是字符串拼接,研发人员对字符串拼接应该引起重视,不应忽略。 错误用法1: sql = "select id, name from test where id=%d and name='%s'...
    99+
    2023-01-31
    如何防止 Python sql
  • 如何有效防止sql注入的方法
    SQL注入攻击是黑客对数据库进行攻击常用的手段之一,随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验参差不齐,相当大一部分程序员在...
    99+
    2024-04-02
  • get请求中如何防止sql注入
    get请求中防止sql注入的方法:通过浏览器地址栏传递的数据过滤,例如:Public Function ChkSqlIn()Dim Fy_Get, Fy_In, Fy_Inf, F...
    99+
    2024-04-02
  • php框架中如何防止sql注入
    php框架中防止sql注入的方法:在php.ini配置文件中打开php的安全模式,例如:safe_mode = on当safe_mode打开时,将safe_mode_gid关闭,例如:safe_mode_gid = off在安全模式下指定要...
    99+
    2024-04-02
  • 实例讲解MyBatis如何防止SQL注入
     SQL注入是一种很简单的攻击手段,但直到今天仍然十分常见。究其原因不外乎:No patch for stupid。为什么这么说,下面就以JAVA为例进行说明: 假设数据库中存在这样...
    99+
    2024-04-02
  • 如何在PHP中防止SQL注入攻击
    在Web应用程序中,SQL注入攻击是一种常见的攻击方式。它利用应用程序未对用户输入进行过滤或限制,将恶意SQL语句插入到应用程序中,从而导致数据库被攻击者控制和窃取敏感数据。对于PHP开发者来说,如何有效的防止SQL注入攻击是一个必须要掌握...
    99+
    2023-05-20
    PHP sql注入 防止攻击
  • 防止web项目中的SQL注入方法有哪些
    这篇文章主要介绍“防止web项目中的SQL注入方法有哪些”,在日常操作中,相信很多人在防止web项目中的SQL注入方法有哪些问题上存在疑惑,小编查阅了各式资料,整理出简单好用的操作方法,希望对大家解答”防止web项目中的SQL注入方法有哪些...
    99+
    2023-06-21
  • PHP中如何使用预处理语句防止SQL注入攻击?
    php 中使用预处理语句可以有效防御 sql 注入攻击。预处理语句通过允许在执行查询之前定义查询参数,从而阻止攻击者插入恶意字符串。它具有更高的安全性、更好的性能和易于使用的优点。 P...
    99+
    2024-05-06
    mysql 防止sql注入 php脚本
  • MySQL插入SQL语句后在phpmyadmin中注释乱码的解决方法
    这篇文章将为大家详细讲解有关MySQL插入SQL语句后在phpmyadmin中注释乱码的解决方法,小编觉得挺实用的,因此分享给大家做个参考,希望大家阅读完这篇文章后可以有所收获。MySQL插入SQL语句后在...
    99+
    2024-04-02
软考高级职称资格查询
iis服务器助手广告
软考职称历年真题下载
软考职称资料下载
热门wiki
近期文章
推荐阅读
热门问答
热门标签
编程网,编程工程师的家园,是目前国内优秀的开源技术社区之一,形成了由开源软件库、代码分享、资讯、协作翻译、讨论区和博客等几大频道内容,为IT开发者提供了一个发现、使用、并交流开源技术的平台。

  • 官方手机版

  • 微信公众号

  • 商务合作