node-mysql中怎么防止SQL注入

2024-04-02 19:04:59 165人浏览安东尼

摘要

node-Mysql中怎么防止sql注入，很多新手对此不是很清楚，为了帮助大家解决这个难题，下面小编将为大家详细讲解，有这方面需求的人可以来学习下，希望你能有所收获。SQL注入简介SQL注入是比较常见的网络

node-Mysql中怎么防止sql注入，很多新手对此不是很清楚，为了帮助大家解决这个难题，下面小编将为大家详细讲解，有这方面需求的人可以来学习下，希望你能有所收获。

SQL注入简介

SQL注入是比较常见的网络攻击方式之一，它不是利用操作系统的BUG来实现攻击，而是针对程序员编程时的疏忽，通过SQL语句，实现无帐号登录，甚至篡改数据库。

node-mysql中防止SQL注入

为了防止SQL注入，可以将SQL中传入参数进行编码，而不是直接进行字符串拼接。在node-mysql中，防止SQL注入的常用方法有以下四种：

方法一：使用escape()对传入参数进行编码：

参数编码方法有如下三个：

mysql.escape(param)
connection.escape(param)
pool.escape(param)

例如：

var userId = 1, name = 'test';
var query = connection.query('SELECT * FROM users WHERE id = ' + connection.escape(userId) + ', name = ' + connection.escape(name), function(err, results) {
  // ...
});
console.log(query.sql); // SELECT * FROM users WHERE id = 1, name = 'test'

escape()方法编码规则如下：

Numbers不进行转换；

Booleans转换为true/false；

Date对象转换为'YYYY-mm-dd HH:ii:ss'字符串；

Buffers转换为hex字符串，如X'0fa5'；

Strings进行安全转义；

Arrays转换为列表，如[‘a', ‘b']会转换为'a', ‘b'；

多维数组转换为组列表，如[[‘a', ‘b'], [‘c', ‘d']]会转换为'a', ‘b'), (‘c', ‘d')；

Objects会转换为key=value键值对的形式。嵌套的对象转换为字符串；

undefined/null会转换为NULL；

MySQL不支持NaN/Infinity，并且会触发MySQL错误。

方法二：使用connection.query()的查询参数占位符：

可使用 ? 做为查询参数占位符。在使用查询参数占位符时，在其内部自动调用 connection.escape() 方法对传入参数进行编码。

如：

var userId = 1, name = 'test';
var query = connection.query('SELECT * FROM users WHERE id = ?, name = ?', [userId, name], function(err, results) {
  // ...
});
console.log(query.sql); // SELECT * FROM users WHERE id = 1, name = 'test'

上面程序还可以改写成如下：

var post = {userId: 1, name: 'test'};
var query = connection.query('SELECT * FROM users WHERE ?', post, function(err, results) {
  // ...
});
console.log(query.sql); // SELECT * FROM users WHERE id = 1, name = 'test'

方法三：使用escapeId()编码SQL查询标识符：

如果你不信任用户传入的SQL标识符（数据库、表、字符名），可以使用escapeId()方法进行编码。最常用于排序等。

escapeId()有如下三个功能相似的方法：

mysql.escapeId(identifier)
connection.escapeId(identifier)
pool.escapeId(identifier)

例如：

var sorter = 'date';
var sql  = 'SELECT * FROM posts ORDER BY ' + connection.escapeId(sorter);
connection.query(sql, function(err, results) {
 // ...
});

方法四：使用mysql.format()转义参数：

准备查询，该函数会选择合适的转义方法转义参数　　 mysql.fORMat()用于准备查询语句，该函数会自动的选择合适的方法转义参数。

例如：

var userId = 1;
var sql = "SELECT * FROM ?? WHERE ?? = ?";
var inserts = ['users', 'id', userId];
sql = mysql.format(sql, inserts); // SELECT * FROM users WHERE id = 1

看完上述内容是否对您有帮助呢？如果还想对相关知识有进一步的了解或阅读更多相关文章，请关注编程网数据库频道，感谢您对编程网的支持。

您可能感兴趣的文档:

点击免费下载>>软考高级考试备考技巧/历年真题/备考精华资料

--结束END--

本文标题: node-mysql中怎么防止SQL注入

本文链接: https://www.lsjlt.com/news/56616.html(转载时请注明来源链接)

有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

本篇文章演示代码以及资料文档资料下载

下载Word文档到电脑，方便收藏和打印～

下载Word文档

去做题

猜你喜欢

node-mysql中怎么防止SQL注入

node-mysql中怎么防止SQL注入，很多新手对此不是很清楚，为了帮助大家解决这个难题，下面小编将为大家详细讲解，有这方面需求的人可以来学习下，希望你能有所收获。SQL注入简介SQL注入是比较常见的网络...

99+

2022-10-18
mysql怎么防止sql注入

要防止SQL注入，可以采取以下措施：1. 使用参数化查询或预编译语句：通过将用户输入的值作为参数传递给查询语句，而不是将其直接拼接到...

99+

2023-08-23

mysql sql
express.js如何做mysql注入与node-mysql中防止SQL注入方法解析

大家都知道SQL注入对于网站或者服务器来讲都是一个非常危险的问题，如果这一方面没处理好的话网站可能随时给注入了，所以这篇文章就给大家总结了node-mysql中防止SQL注入的几种常...

99+

2023-05-18

express mysql 防注入 SQL 注入 node-mysql
怎么防止SQL注入

这篇文章主要介绍了怎么防止SQL注入，具有一定借鉴价值，感兴趣的朋友可以参考下，希望大家阅读完这篇文章之后大有收获，下面让小编带着大家一起了解一下。SQL注入即是指web应用程序对用户输入数据的合法性没有判...

99+

2022-10-18
mysql中如何防止sql注入

mysql中防止sql注入的方法：构造execute参数列表，让模块自动拼装查询字符串，从而防止sql注入的效果，例如：# 安全方式find_name = input("请输入您要查询产品的名称：")# 构造参数列表params = [fi...

99+

2022-10-12
golang怎么防止sql注入

在Go语言中，可以使用参数化查询或预编译语句来防止SQL注入。1. 参数化查询：使用占位符来代替实际的参数值，然后将参数值作为参数传...

99+

2023-09-17

golang sql
ibatis怎么防止sql注入

ibatis防止sql注入的方法：使用#写法采用预编译方式，将转义交给数据库，则不会出现注入问题，例如：//mysql环境select * from test where school_name like conca&#...

99+

2022-10-10
hibernate怎么防止sql注入

hibernate防止sql注入的方法：使用named parameter方法（在查询字符串中使用：），例如：usernameString//前台输入的用户名passwordString//前台输入的密码//hql语句String quer...

99+

2022-10-20
laravel怎么防止sql注入

这篇文章主要介绍“laravel怎么防止sql注入”的相关知识，小编通过实际案例向大家展示操作过程，操作方法简单快捷，实用性强，希望这篇“laravel怎么防止sql注入”文章能帮助大家解决问题。当你使用Eloquent查询时，如：User...

99+

2023-07-04
mysql防止sql注入的方法

这篇文章将为大家详细讲解有关mysql防止sql注入的方法，小编觉得挺实用的，因此分享给大家做个参考，希望大家阅读完这篇文章后可以有所收获。 SQL Injection攻击具有很大的危害，攻击者可...

99+

2022-10-18
怎么有效防止sql注入

这期内容当中小编将会给大家带来有关怎么有效防止sql注入，文章内容丰富且以专业的角度为大家分析和叙述，阅读完这篇文章希望大家可以有所收获。一背景数据如下：本系统采用mysql做为数据库，使用Jdbc来进行数据库的相关操作。系统提供了一个功...

99+

2023-06-15
Node+mysql怎么实现SQL注入

这篇文章主要介绍“Node+mysql怎么实现SQL注入”，在日常操作中，相信很多人在Node+mysql怎么实现SQL注入问题上存在疑惑，小编查阅了各式资料，整理出简单好用的操作方法，希望对大家解答”Node+mysql怎么实现SQL注入...

99+

2023-07-04
preparestatement是怎么防止sql注入的

preparestatement防止sql注入的方法：当使用PreprareStatement时，即使参数里有敏感字符如or '1=1'，数据库也会作为一个参数一个字段的属性值来处理，而不会作为一个SQL指令来执行，用法示例：String ...

99+

2022-10-13
MySQL 安全及防止 SQL 注入攻击

如果通过网页获取用户输入的数据并将其插入 MySQL 数据库，那么就有可能发生 SQL注入攻击的安全问题作为研发，有一条铁律需要记住，那就是永远不要相信用户的数据，哪怕他一再承诺是安全的 SQL 注入式攻击 SQL 注入，就是通过把 S...

99+

2023-10-06

mysql 安全 sql
php操作mysql防止sql注入(合集)

本文将从sql注入风险说起，并且比较addslashes、mysql_escape_string、mysql_real_escape_string、mysqli和pdo的预处理的区别。当一个变量从表单传入到php，需要查询mysql的话...

99+

2016-11-26

php操作mysql防止sql注入(合集)
（MYSQL学习笔记5）防止SQL注入

MYSQL服务器并不存在共享池（我也不清楚共享池是什么）的概念，所以在MYSQL上使用绑定变量最大的好处就是为了防止SQL注入。PHP例子：$stmt = $dbh -> prepare("SELEC...

99+

2022-10-18
mysql预处理如何防止sql注入

mysql预处理防止sql注入的方法：预处理的语法：//发送一条sql给mysql服务器，mysql服务器会解析这条sql　　$pdo->prepare('select * from b...

99+

2022-10-21
Python中如何防止sql注入

sql注入中最常见的就是字符串拼接，研发人员对字符串拼接应该引起重视，不应忽略。错误用法1： sql = "select id, name from test where id=%d and name='%s'...

99+

2023-01-31

如何防止 Python sql
MyBatis中防止SQL注入讲解

SQL注入是一种代码注入技术，用于攻击数据驱动的应用，恶意的SQL语句被插入到执行的实体字段中（例如，为了转储数据库内容给攻击者）。 SQL注入，大家都不陌生，是一种常见的攻击方式。...

99+

2022-11-12
怎么才能有效防止SQL注入

这篇文章主要为大家展示了“怎么才能有效防止SQL注入”，内容简而易懂，条理清晰，希望能够帮助大家解决疑惑，下面让小编带领大家一起研究并学习一下“怎么才能有效防止SQL注入”这篇文章吧。sql注入入门SQL ...

99+

2022-10-18