那些遇到过的问题

Sequelize:使用sequelize.query进行SQL注入

Muh*_*aat 8 postgresql sql-injection node.js sequelize.js

我第一次将 Sequelize 与 PostgreSQL 结合使用。这也是我很长时间以来第一次使用 SQL 数据库。

我一直在研究如何提高一些 SQL 查询的性能和安全性。我发现了这个sequelize.query()方法并开始将其用于此目的。

这种在 Sequelize 中进行原始查询的方式是否容易受到 SQL 注入攻击?

Tud*_*tin 6

尽管您可以避免它们,但您也可以发出容易受到 SQL 注入攻击的查询。

如果您专门使用所有用户输入的值使用替换或绑定参数的查询,那么您应该是安全的。

  • 那么这是否意味着 Sequilize 对替换品执行了适当的卫生处理?因为他们的文档几乎没有提及如此重要的主题。他们只提到“绑定参数就像替换。除了替换被转义之外......”“转义”是什么意思 - 根本没有任何信息。这是否意味着只有替换是安全的而绑定参数则不是?- 无信息。 (4认同)

归档时间:

查看次数:

16365 次

最近记录:

2 年,5 月 前
相关归档
node.js示例 55
如何使用Node.js加密创建一对私钥/公钥? 37
Sequelize创建数据库 24
如何为node_options设置多个值? 17
为什么明确告诉我我的默认视图引擎没有定义? 15
我无法启动服务器 PostgreSQL 11:“pg_ctl:无法启动服务器” 9
如何仅使用 sequelize-cli 播种一个文件? 8
通过命令行查询postgres中的bytea字段 7
关于内连接的SQL where子句 6
SQL 3方式排名结合逻辑 5
难疑归档
Python有一个字符串'contains'子串方法吗? 3601
带请求正文的HTTP GET 1896
如何访问环境变量值? 1878
npm install的--save选项是什么? 1779
配置错误:此配置部分不能在此路径中使用 1694
如何仅从SQL Server DateTime数据类型返回日期 1692
在JavaScript中生成两个数字之间的随机数 1635
C#在foreach中重用变量是否有原因? 1631
如何在IntelliJ中永久启用行号? 1341
如何通过对象中的属性对List <T>进行排序 1146