node-mysql中防止SQL注入
備註: 本文針對mysqljs/mysql。javascript
爲了防止SQL注入,能夠將SQL中傳入參數進行編碼,而不是直接進行字符串拼接。在node-mysql中,防止SQL注入的經常使用方法有如下四種:php
方法一:使用escape()對傳入參數進行編碼:
參數編碼方法有以下三個:html
mysql.escape(param) connection.escape(param) pool.escape(param)
例如:java
var userId = 1, name = 'test'; var query = connection.query('SELECT * FROM users WHERE id = ' + connection.escape(userId) + ', name = ' + connection.escape(name), function(err, results) { // ... }); console.log(query.sql); // SELECT * FROM users WHERE id = 1, name = 'test'
escape()方法編碼規則以下:
- Numbers不進行轉換;
- Booleans轉換爲true/false;
- Date對象轉換爲’YYYY-mm-dd HH:ii:ss’字符串;
- Buffers轉換爲hex字符串,如X’0fa5’;
- Strings進行安全轉義;
- Arrays轉換爲列表,如[‘a’, ‘b’]會轉換爲’a’, ‘b’;
- 多維數組轉換爲組列表,如[[‘a’, ‘b’], [‘c’, ‘d’]]會轉換爲’a’, ‘b’), (‘c’, ‘d’);
- Objects會轉換爲key=value鍵值對的形式。嵌套的對象轉換爲字符串;
- undefined/null會轉換爲NULL;
- MySQL不支持NaN/Infinity,而且會觸發MySQL錯誤。
方法二:使用connection.query()的查詢參數佔位符:
可以使用 ? 作爲查詢參數佔位符。在使用查詢參數佔位符時,在其內部自動調用 connection.escape()方法對傳入參數進行編碼。node
如:mysql
var userId = 1, name = 'test'; var query = connection.query('SELECT * FROM users WHERE id = ?, name = ?', [userId, name], function(err, results) { // ... }); console.log(query.sql); // SELECT * FROM users WHERE id = 1, name = 'test'
上面程序還能夠改寫成以下:git
var post = {userId: 1, name: 'test'}; var query = connection.query('SELECT * FROM users WHERE ?', post, function(err, results) { // ... }); console.log(query.sql); // SELECT * FROM users WHERE id = 1, name = 'test'
方法三: 使用escapeId()編碼SQL查詢標識符:
若是你不信任用戶傳入的SQL標識符(數據庫、表、字符名),能夠使用escapeId()方法進行編碼。最經常使用於排序等。escapeId()有以下三個功能類似的方法:github
mysql.escapeId(identifier) connection.escapeId(identifier) pool.escapeId(identifier)
例如:sql
var sorter = 'date'; var sql = 'SELECT * FROM posts ORDER BY ' + connection.escapeId(sorter); connection.query(sql, function(err, results) { // ... });
方法四: 使用mysql.format()轉義參數:
準備查詢,該函數會選擇合適的轉義方法轉義參數 mysql.format()用於準備查詢語句,該函數會自動的選擇合適的方法轉義參數。數據庫
例如:
var userId = 1; var sql = "SELECT * FROM ?? WHERE ?? = ?"; var inserts = ['users', 'id', userId]; sql = mysql.format(sql, inserts); // SELECT * FROM users WHERE id = 1
參考文章:
1. https://github.com/mysqljs/mysql
2. http://itbilu.com/nodejs/npm/NyPG8LhlW.html
備註:Node.js與MySQL交互操做有不少庫,具體能夠在 https://www.npmjs.org/search?q=mysql查看。
相關文章
- 1. 防止sql注入
- 2. 防止SQL注入
- 3. SQL 防止注入
- 4. springboot中防止sql注入 & 防止sql攻擊
- 5. mybatis 防止sql注入
- 6. Mybatis防止sql注入
- 7. 防止sql注入攔截
- 8. 如何防止sql注入
- 9. PrepareStatement 防止sql注入
- 10. Java防止SQL注入
- 更多相關文章...
- • SQLite 注入 - SQLite教程
- • Spring DI(依賴注入)的實現方式:屬性注入和構造注入 - Spring教程
- • YAML 入門教程
- • Spring Cloud 微服務實戰(三) - 服務註冊與發現
相關標籤/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
最新文章
- 1. 升級Gradle後報錯Gradle‘s dependency cache may be corrupt (this sometimes occurs
- 2. Smarter, Not Harder
- 3. mac-2019-react-native 本地環境搭建(xcode-11.1和android studio3.5.2中Genymotion2.12.1 和VirtualBox-5.2.34 )
- 4. 查看文件中關鍵字前後幾行的內容
- 5. XXE萌新進階全攻略
- 6. Installation failed due to: ‘Connection refused: connect‘安卓studio端口占用
- 7. zabbix5.0通過agent監控winserve12
- 8. IT行業UI前景、潛力如何?
- 9. Mac Swig 3.0.12 安裝
- 10. Windows上FreeRDP-WebConnect是一個開源HTML5代理,它提供對使用RDP的任何Windows服務器和工作站的Web訪問
歡迎關注本站公眾號,獲取更多信息
相關文章
- 1. 防止sql注入
- 2. 防止SQL注入
- 3. SQL 防止注入
- 4. springboot中防止sql注入 & 防止sql攻擊
- 5. mybatis 防止sql注入
- 6. Mybatis防止sql注入
- 7. 防止sql注入攔截
- 8. 如何防止sql注入
- 9. PrepareStatement 防止sql注入
- 10. Java防止SQL注入