那些遇到过的问题

Sequelize:使用sequelize.query进行SQL注入

Muh*_*aat 8 postgresql sql-injection node.js sequelize.js

我第一次将 Sequelize 与 PostgreSQL 结合使用。这也是我很长时间以来第一次使用 SQL 数据库。

我一直在研究如何提高一些 SQL 查询的性能和安全性。我发现了这个sequelize.query()方法并开始将其用于此目的。

这种在 Sequelize 中进行原始查询的方式是否容易受到 SQL 注入攻击?

Tud*_*tin 6

尽管您可以避免它们,但您也可以发出容易受到 SQL 注入攻击的查询。

如果您专门使用所有用户输入的值使用替换或绑定参数的查询,那么您应该是安全的。

  • 那么这是否意味着 Sequilize 对替换品执行了适当的卫生处理?因为他们的文档几乎没有提及如此重要的主题。他们只提到“绑定参数就像替换。除了替换被转义之外......”“转义”是什么意思 - 根本没有任何信息。这是否意味着只有替换是安全的而绑定参数则不是?- 无信息。 (4认同)

归档时间:

查看次数:

16365 次

最近记录:

2 年,3 月 前
相关归档
调整大小并裁剪图像并保持宽高比NodeJS&gm 28
node.js中的app.js,index.js和server.js的约定? 28
PostgreSQL约束 - 只有一行可以设置标志 20
使用enum vs Boolean? 13
如何在AWS Lambda中使用Node.js列出我的所有Amazon EC2实例? 13
Expressjs服务器地址主机什么都不返回 13
如何在 VSCode 中启用 Node.js 代码自动完成功能? 11
为什么 TypeORM 使用 FindOn(id) 生成两个查询 8
Npgsql 如何处理失败的事务? 6
如何为 Sequelize 模型设置外键? 5
难疑归档
如何丢弃Git中的未分级更改? 4562
使用jQuery为复选框设置"选中"? 3988
如何在JavaScript中创建字符串大写的第一个字母? 3565
何时在Java中使用LinkedList而不是ArrayList? 2974
浮点数学是否破碎? 2798
迭代字典的最佳方法是什么? 2455
如何使div 100%的浏览器窗口高度? 2016
为什么将0.1f改为0会使性能降低10倍? 1491
在Android Studio中重命名包 1252
jQuery的jquery-1.10.2.min.map触发了404(未找到) 1051