Mat*_*tko 3 sqlite sql-injection node.js
有人可以告诉我如何转义输入值以防止SQL注入吗?我有一个用户身份验证应用程序,我需要以某种方式导入一些安全性。
我的验证如下所示:
//Validation
req.checkBody('name', 'Name is required').notEmpty();
req.checkBody('email', 'Email is required').notEmpty();
req.checkBody('email', 'Email is not valid').isEmail();
req.checkBody('password', 'Password is required').notEmpty();
req.checkBody('password', 'Password must have at least 6 characters').len(6,20);
req.checkBody('password2', 'Passwords do not match').equals(req.body.password);
然后我的INSERT一些值如下:
var stmt = db.prepare("INSERT INTO users ( id, name, email, password, salt) VALUES (NULL, ?, ?, ?, ?)");
stmt.run([ name, hashEmail(email,'salt'), hashPassword(password,'salt'), 'salt'], function(error){ //.....
有人告诉我这不是真正安全的导入价值的方法,但是只要我对互联网安全没有真正的经验,我将需要您的帮助。
问候
因为您已经正确使用了参数化查询(而不是构造与请求参数混合的SQL字符串,而是?在查询中用于指定执行SQL语句时将替换参数的位置),所以上面显示的代码已经可以了而且不容易受到SQL注入的攻击。
仅当您将这些变量与SQL字符串本身连接在一起时,它才会受到SQLi的攻击。
| 归档时间: |
|
| 查看次数: |
2666 次 |
| 最近记录: |