Bha*_*K P 20 mysql sql-injection node.js express sequelize.js
我正在使用sequelize with express.我需要保护db不受sql-injection的影响.我看到了续集的文件,但我找不到任何东西.所以请帮助我如何使用sequelize防止sql注入.
Dan*_*rey 25
Sequelize逃避替换,避免了SQL注入攻击的核心问题:未转义的字符串.它还支持使用SQLite或PostgreSQL时的绑定参数,通过将参数分别发送到数据库查询来进一步降低风险,如下所述:
绑定参数就像替换.除了替换在查询发送到数据库之前通过sequelize转义并插入查询,而绑定参数在SQL查询文本之外发送到数据库.查询可以具有绑定参数或替换.
只有SQLite和PostgreSQL支持绑定参数.其他方言将它们插入SQL查询中的方式与替换方式相同.绑定参数由$ 1,$ 2,...(数字)或$ key(字母数字)引用.这与方言无关.