【nodejs学习笔记】安全:sql注入、xss攻击的概念和预防及密码加密的方式

最新推荐文章于 2024-05-29 09:30:00 发布
最新推荐文章于 2024-05-29 09:30:00 发布
阅读量1.1k 收藏 3
点赞数 1
分类专栏: nodejs学习笔记 前端面试小本本 文章标签: 学习 安全 node.js
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dongkeai/article/details/127621288
版权

本文涉及

  • sql 注入: 窃取数据库内容
  • xss 攻击:窃取前端的 cookie 内容
  • 密码加密: 保障用户信息安全

sql 注入

  • 最原始、最简单的攻击,从有了 web2.0 就有了 sql 注入攻击
  • 攻击方式∶输入一个 sql 片段,最终拼接成一段攻击代码
  • 预防措施∶使用 mysql 的 escape 函数处理输入内容即可

示例

比如一个只需要输入用户名和密码的登录界面:
在这里插入图片描述
假如用户在输入用户名的时候,在后面加上'-- (单引号–空格),比如用户gougou输入: gougou'-- ,那输入的密码不正确也能登录成功。因为这样做相当于把后面的 sql 注释掉了。甚至可以在输入用户名之后拼接 sql 语句执行其他更危险的操作。

举个例子:
一开始,gougou 登录的时候正常输入用户名gouguo,密码liyi,sql 语句如下:select * from users where username='gougou' and password='liyi';
在这里插入图片描述
后来gougou使坏,用户名输入为gougou'-- ,这时候密码随便怎么输都无所谓,比如输入123,也能正确查询出该用户信息:
在这里插入图片描述

如何预防

通过 mysql 自带的 escape 函数处理输入内容。对用户输入的内容进行转义。

代码示例

db-mysql.js:

const mysql = require('mysql')
const {
    MYSQL_CONF } = require('../conf/db')
// 创建连接对象
const con = mysql.createConnection(MYSQL_CONF)
// 开始连接
con.connect()
// 统一执行 sql 的函数
function exec(sql) {
   
  return new Promise((resolve, reject) => {
   
    con.query(sql, (err, result)=>{
   
      if(err) return reject(err)
      resolve
最低0.47元/天 解锁文章
狗狗的仙女大人
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
防js/sql注入简易工具源代码
03-18
防js/sql注入简易工具是一款简易的防js/sql注入源码,使用者只需要先将源码添加至项目中,然后在jsp、action等一些容易注入的地方调用提供的api即可防止注入。
NodejsSQL注入,占位符 转义查询 )
时意
09-20 5321
浅谈SQL注入 本来想把这篇文章写在 Nodejs(访问mysql)里 但是查了一下SQL注入 引起了我的兴趣 可能学习完前端这一套 我会抽时间 学习网络安全 这种课程 什么是SQL注入 就是 大家写SQL的时候 不管方法也好 还是 直接从界面取得控件内容 都或多或少拼接字符串方式 var name=txt_name.text; var password=txt_pass.text; ...
Node.js实战】一文带你开发博客项目之安全sql注入xss攻击、md5加密算法)
最新发布
qq_44005305的博客
05-29 1266
前面,我们使用原生 nodejs 已经大体完成了 myblog 的项目,下面我们来学习一下如何为我们项目的安全保驾护航…sql注入:窃取数据库内容XSS攻击:窃取前端的 cookie 内容密码加密:保障用户信息安全(重要!我们只关注通过 web server (nodejs)层面预防至此,我们明白了如何防止sql注入、如何预防xxs攻击、以及如何为密码加密继续跟进学习吧!后续会对该项目进行多次重构【多种框架(express,koa)和数据库(mysql,sequelize,mongodb)】
关于sql注入这一篇就够了(适合入门)
qq_53105813的博客
01-07 4896
sql注入详解
js注入攻击代码
weixin_35756637的博客
01-17 1343
JS注入攻击是一种利用漏洞在网页中植入恶意JS代码的攻击方式。攻击者可以通过在网页的表单、搜索框等输入框中输入恶意代码,并将其发送到服务器上,服务器在解析和返回网页时将恶意代码一并返回给用户。攻击代码可能包含跳转到恶意网站、收集用户信息等内容。 举例: <script> alert("JS Injection Attack"); </script> 这是一个简单的...
node 防止sql注入
hanlt的专栏
12-04 567
在node中的app.js中加如下: var sqlinjection = require('sql-injection'); app.use(sqlinjection);
nodejs学习笔记(一):centos7安装node环境
01-20
由于windows环境安装nodejs只需要访问官方网站下载压缩包,解压即可。 首先检查自己是否安装wget,已安装可以跳过这步,未安装则需要先安装:yum install -y wget 用wget下载node包文件: wget ...
NodeJS学习笔记之Http模块
01-20
NodeJS作为一个宿主运行环境,以JavaScript为宿主语言,它也有自己实现的一套标准,这篇文章我们就一起来学习一下 “Http模块” 。但是作为前提来说, 希望大家可以先阅读一下官网提供的api,有一个前置了解,这样就...
About_Node:学习笔记:有关nodejs的一些示例和摘要
05-07
About_Node 1.clawer:nodejs相关的爬虫总结 2.require_way:nodejs模块的加载方式 3.clawer_github_stars:...9.stream nodejs流知识学习(输入输出流,加密解密,压缩解压) 10.graphql Koa+Myql(docker)+graphql相关
NodeJS学习笔记和代码
05-29
NodeJS是一种基于Chrome V8引擎的JavaScript...通过这些笔记和代码示例,学习者不仅可以理解NodeJS的基本概念,还能动手实践,掌握开发NodeJS应用的技能。对于想要踏入NodeJS世界的人来说,这是一个非常宝贵的资源。
nodejs-record::notebook:nodejs读书笔记
02-12
这个"nodejs-record"项目显然是一份关于Node.js学习笔记,包含了对《了不起的Node.js》和《深度浅出Node.js》这两本书的阅读理解与实践心得。 《了不起的Node.js》由赵静翻译,这本书可能涵盖了Node.js的基础概念...
防止SQL注入攻击的10种有效方法
热门推荐
qq_28245087的博客
06-29 3万+
本文介绍了10种防止SQL注入攻击的方法,包括使用参数化查询、输入验证和过滤、存储过程、最小权限原则、ORM框架、准备语句、安全的数据库连接、避免动态拼接SQL语句、使用防火墙和入侵检测系统以及定期更新和维护数据库软件。输入验证和过滤是一种用于确保用户输入数据的安全性和有效性的技术。需要注意的是,具体的代码实现可能因使用的数据库驱动库而有所不同,但核心思想是相同的:使用PreparedStatement来执行参数化查询,将用户输入作为参数传递给查询,而不是直接拼接到查询字符串中,以提高应用程序的安全性。
手把手教你用JS写XSS cookie stealer来窃取密码
weixin_50464560的博客
08-24 975
JavaScript是web中最常用的脚本开发语言,js可以自动执行站点组件,管理站点内容,在web业内实现其他有用的函数。JS可以有很多的函数可以用做恶意用途,包括窃取含有密码等内容的用户cookie。Cookie是站点请求和保持特定访问页面的信息。Cookie含有访问的方式、时间、用户名密码等认证信息等。当用户访问给定站点时,必须使用cookie;如果攻击者可以拦截cookie,就可以利用cookie窃取用户的一些信息。对某个特定的域名,使用JS可以保存或修改用户的cookie。也就是说,如果攻击者可以
JS防止SQL注入代码
Miss卿
11-01 583
  简单的JS防止SQL注入代码 这个SQL注入的方法不是最好的,最好也在服务器端设置验证,可以考虑Ajax来验证防止!  1.URL地址防注入: //过滤URL非法SQL字符   varsUrl=location.search.toLowerCase();   varsQuery=sUrl.substring(sUrl.indexOf("=")+1);   re=/sele...
[译]Node.js安全清单
weixin_34008805的博客
10-15 209
前言 安全性,总是一个不可忽视的问题。许多人都承认这点,但是却很少有人真的认真地对待它。所以我们列出了这个清单,让你在将你的应用部署到生产环境来给千万用户使用之前,做一个安全检查。 以下列出的安全项,大多都具有普适性,适用于除了Node.js外的各种语言和框架。但是,其中也包含一些用Node.js写的小工具。 配置管理 安全性相关的HTT...
CVE-2020-7699:NodeJS模块代码注入
systemino的博客
08-19 1670
研究人员在下载量超700万的Node.js 模块中发现其存在安全漏洞,攻击者利用该漏洞可以发起DoS 攻击或完全获取远程shell 访问权限。 该漏洞CVE编号为CVE-2020-7699,位于express-fileupload npm组件中,该组件从npm处下载量超过730万,其中不含有从GitHub、镜像网站和其他克隆库中下载的。 该漏洞属于Prototype Pollution(原型污染)漏洞类型,这是JS代码中的常见漏洞类型。因为JS是基于原型的语言,语言中的每个对象、函数和数据结构都有P..
第五章:nodejs koa2 mysql redis 全栈开发--安全sql注入xss攻击
吾日三省吾身:高否?富否?帅否? 否!否!否! 安心上班吧……
10-25 1428
一、什么是sql注入: 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。是最原始、最简单的攻击,从有了web2.0就有了sql注入攻击。 这里举一个简单的典型例子: 我们知道,用户登录的时候我们要去查询用户表(users),对比用户名(username)和密码(password) SQL语句: // 正常...
node防xss攻击插件
weixin_30401605的博客
01-08 390
var xss = require('node-xss').clean; router.post("/orders/insert-orders", function (req, res) { //对请求体做xss过滤 var data = xss(req.body); var url = urlMap.englishlistenspeakserver + ...
7天学会NodeJS.pdf
04-03
"7天学会NodeJS.pdf 是一本旨在帮助初学者...学习Node.js不仅需要理解其基础概念和技术,还需要实践来提升技能。通过这个7天的学习计划,读者可以快速上手并掌握Node.js的核心知识,为从事相关开发工作打下坚实基础。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值