dre*_*rew 3 javascript sql sql-injection node.js ecmascript-6
当es6模板文字用于构造查询时,是否可以防止SQL注入?您能否提供常见攻击的一些示例以及如何减轻这些攻击?
更具体地说,我计划在节点项目中使用mssql模块.在模板文字部分下的文档中,它说"所有值都会针对SQL注入自动清理".这纯粹是因为ES6模板文字如何工作?
不,ES6模板文字只是构建字符串的另一种方法,如果您要使用它们从提供的用户输入构建原始SQL查询而不需要额外的过滤/转义,则不会保护您免受SQL注入:
let name = "Robert'; DROP TABLE Students;--"; // user supplied input
let sql = `SELECT * FROM Students WHERE name = '${name}'`; // build query...
console.log(sql); // Injected SQL!是的,但前提是您使用适当的标签。当您使用标签时,它被称为“标记模板文字”。该标签位于第一个反引号之前。
您可以使用sql.querynode-mssql作为标签或https://github.com/TehShrike/sql-tagged-template-literal
const SQL = require('sql-template-strings');
let name = "Robert'; DROP TABLE Students;--"; // user supplied input
let sql = SQL`SELECT * FROM Students WHERE name = '${name}'`; // build query...
console.log(sql); // Non-injected SQL!
// SELECT * FROM Students WHERE name = 'Robert''; DROP TABLE Students;--'
提示!如果使用该标签,编辑器可以自动语法突出显示模板文字中的 SQLsql。
| 归档时间: |
|
| 查看次数: |
1269 次 |
| 最近记录: |