nodejs 不用框架 底层实现 webserver 预防sql注入、xss攻击、md5加密

最新推荐文章于 2024-05-13 09:17:36 发布
最新推荐文章于 2024-05-13 09:17:36 发布
阅读量1.6w 收藏 22
点赞数 1
分类专栏: nodejs 文章标签: api 框架
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kingrome2017/article/details/70197574
版权

mysql.escape // mysql防注入
npm 安装 xss const xss = require(‘xss’) // 防止xss攻击

…/db/mysql

const mysql = require('mysql') //硬盘数据库
const { MYSQL_CONF } = require('../conf/db')

// 创建链接对象
const con = mysql.createConnection(MYSQL_CONF)

// 开始链接
con.connect()

// 统一执行 sql 的函数
function exec(sql) {
    const promise = new Promise((resolve, reject) => {
        con.query(sql, (err, result) => {
            if (err) {
                reject(err)
                return
            }
            resolve(result)
        })
    })
    return promise
}

module.exports = {
    exec,
    escape: mysql.escape  // mysql防注入
}

const xss = require('xss')  // 防止xss攻击
const { exec } = require('../db/mysql')

const getList = (author, keyword) => {
    let sql = `select * from blogs where 1=1 `
    if (author) {
        sql += `and author='${author}' `
    }
    if (keyword) {
        sql += `and title like '%${keyword}%' `
    }
    sql += `order by createtime desc;`

    // 返回 promise
    return exec(sql)
}

const getDetail = (id) => {
    const sql = `select * from blogs where id='${id}'`
    return exec(sql).then(rows => {
        return rows[0]
    })
}

const newBlog = (blogData = {}) => {
    // blogData 是一个博客对象,包含 title content author 属性
    const title = xss(blogData.title)
    // console.log('title is', title)
    const content = xss(blogData.content)
    const author = blogData.author
    const createTime = Date.now()

    const sql = `
        insert into blogs (title, content, createtime, author)
        values ('${title}', '${content}', ${createTime}, '${author}');
    `

    return exec(sql).then(insertData => {
        // console.log('insertData is ', insertData)
        return {
            id: insertData.insertId
        }
    })
}
const updateBlog = (id, blogData = {}) => {
    // id 就是要更新博客的 id
    // blogData 是一个博客对象,包含 title content 属性

    const title = xss(blogData.title)
    const content = xss(blogData.content)

    const sql = `
        update blogs set title='${title}', content='${content}' where id=${id}
    `

    return exec(sql).then(updateData => {
        // console.log('updateData is ', updateData)
        if (updateData.affectedRows > 0) {  //代表影响了一行  affectedRows 更新的时候它会有值
            return true
        }
        return false
    })
}

const delBlog = (id, author) => {
    // id 就是要删除博客的 id
    const sql = `delete from blogs where id='${id}' and author='${author}';`
    return exec(sql).then(delData => {
        // console.log('delData is ', delData)
        if (delData.affectedRows > 0) {
            return true
        }
        return false
    })
}
module.exports = {
    getList,
    getDetail,
    newBlog,
    updateBlog,
    delBlog
}
//controller 只关心的数据

const crypto = require(‘crypto’) // nodejs 自身提供的一个库 防止密码明文显示

…/utils/cryp

const crypto = require('crypto')  // nodejs 自身提供的一个库   防止密码被
// 密匙
const SECRET_KEY = 'WJiol_8776#'
// md5 加密
function md5(content) {
    let md5 = crypto.createHash('md5')
    return md5.update(content).digest('hex')
}
// 加密函数
function genPassword(password) {
    const str = `password=${password}&key=${SECRET_KEY}`
    return md5(str)
}
module.exports = {
    genPassword
}

user.js

const { exec, escape } = require('../db/mysql')
const { genPassword } = require('../utils/cryp')

const login = (username, password) => {
    username = escape(username)  //  mysql防注入
    
    // 生成加密密码
    password = genPassword(password)  // md5加密
    password = escape(password)  // mysql防注入

    const sql = `
        select username, realname from users where username=${username} and password=${password}
    `
    // console.log('sql is', sql)
    return exec(sql).then(rows => {
        return rows[0] || {}
    })
}
module.exports = {
    login
}
//controller 只关心的数据

扩展了解: webserver controller 只关心的数据

kingrome2009
关注
  • 1
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
node-mysql中防止SQL注入的方法总结
09-09
大家都知道SQL注入对于网站或者服务器来讲都是一个非常危险的问题,如果这一方面没处理好的话网站可能随时给注入了,所以这篇文章就给大家总结了node-mysql中防止SQL注入的几种常用做法,有需要的朋友们可以参考借鉴。
node.js mysql防注入_防止在Node.js中进行SQL注入
weixin_35538148的博客
01-26 501
是否有可能以与PHP具有防止它们攻击的Prepared语句相同的方式来防止在Node.js(最好是使用模块)中进行SQL注入。如果是这样,怎么办?如果没有, 那么有哪些示例 可以绕过我提供的代码(请参见下文)。一些上下文:我正在使用node-mysql模块制作一个包含Node.js+MySql的后端堆栈的Web应用程序。从可用性的角度来看,该模块很棒,但是它还没有实现类似于PHP的Prepared...
【解决方案】【最佳实践】vue2.0生命周期、运行机制(详细讲解+中文图解)
最新发布
一起寻找DX3906-探索未知
05-13 731
vue2.0生命周期、beforeCreate、created、beforeMount、mounted、beforeUpdate、updated、beforeDestroy、destroyed、errorCaptured
nodejs中查询mysql防止SQL注入
cowcomic的专栏
08-03 6335
Performing queries The most basic way to perform a query is to call the .query() method on an object (like a Connection, Pool, or PoolNamespace instance). The simplest form of .query() is .query(sql...
NodeJS mysql需要注意sql注入
weixin_39415598的博客
07-07 560
本文简介 点赞 + 关注 + 收藏 = 学会了 虽然现在不会直接使用 原生NodeJS 的方式开发后台,但了解一下 SQL注入 还是很有必要的。 本文使用 NodeJS + MySQL 对 SQL注入 进行讲解。 SQL注入攻击 是很古老的攻击方式了,自从 web2.0 诞生后就有 SQL注入攻击。它通常出现在 输入框 、文本域 等前端组件中。在输入的内容里加入 SQL语句 ,并一同传给后台。 后台一不小心就会将前端传过来的 SQL语句 拼接到自己的 SQL语句 中,最终拼接成一段攻击代码。 所
简单的防止mysql注入
xilengleng的博客
03-27 1015
preg_match("/^[a-zA-Z0-9]{6,}$/")addslashes() 函数返回在预定义字符之前添加反斜杠的字符串。
nodejs-server-authentication
04-09
标题 "nodejs-server-authentication" 暗示了我们将探讨如何使用 Node.js 构建一个包含身份验证功能的服务器。Node.js 是一个基于 Chrome V8 引擎的 JavaScript 运行环境,它允许开发者在服务器端使用 JavaScript ...
基于nodejs+mongodb实现简单的用户增删改查功能
04-10
此外,要防止SQL注入XSS攻击,对用户输入进行验证和清理,并使用合适的中间件处理敏感信息。 ### 总结 通过结合Node.js的高效处理能力和MongoDB的灵活数据存储,我们可以构建出一个功能完备的用户管理系统。前端...
giv-nodejs-server:GIV移动应用程序的服务器代码
04-29
9. **安全性**:服务器需要防止SQL注入XSS攻击等常见安全问题,可能使用Helmet库增强服务器的安全设置,并使用HTTPS进行加密通信。 通过以上分析,我们可以看到“giv-nodejs-server”项目涵盖了Node.js服务器开发...
基于express+nodejs的网上书城系统源码.zip
10-04
为了保证系统的安全性,开发者需要考虑防止SQL注入XSS攻击等问题,可能使用如helmet库加强HTTP头部安全,或者使用bcrypt进行密码加密。性能优化方面,可以启用Gzip压缩、设置缓存策略、使用CDN等手段,提高系统...
node.js实现简单登录和注册
12-08
7. **安全考虑**:虽然这是一个简单的示例,但实际应用中还需要考虑密码加密、防止SQL注入XSS攻击等问题。可以使用bcrypt对密码进行哈希处理,以及使用Express的中间件处理跨站请求。 以上就是使用Node.js实现...
vue2.0离线手册
12-24
vue2.0离线手册
Vue.js开发文档
08-14
Vue.js中文参考手册
Node.js 项目中防止 XSS 攻击
CSDN
07-16 1737
1.SQL 注入 SQL 注入,一般是通过把 SQL 命令插入到 Web 表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的 SQL 命令。 SQL 注入示例 在登录界面,后端会根据用户输入的用户(username)和密码(password),到 MySQL 数据库中去验证用户的身份。 用户输入用户名【cedric】 , 密码【123456】,在后端处理时,会进行如下 sql 语句拼接,当验证用户名和密码成功后,即成功登录。 // 用户名为 cedric , 密码为 123456 sel
Vue.js介绍
weixin_63541561的博客
05-01 2673
一、基本概述:由尤雨溪在2014年作为其个人项目创建, 是前端的一个框架,核心只关注视图层,便于与第三方库或即有项目整合。二、Vue安装三、Vue程序指令,v-show,v-bind,v-for......四、Vue 实例生命周期
【前端框架开发 | Vue.js | 第一篇】Vue.js框架简介、安装及打包教程
热门推荐
等风来
08-31 1万+
正式开始学习前 确保你已学过前端三件套 HTML CSS JavaScriptVue.js是一种流行的JavaScript前端框架,用于构建交互式的、响应式的用户界面。它是一种轻量级、灵活和易于学习的框架,广泛应用于现代Web应用程序开发中。前端框架那么多,为什么Vue.js非学不可?Vue.js的简洁语法和易用性使得它成为构建现代Web应用程序的优秀选择,无论是小型项目还是大型复杂的应用都能发挥出色的效果。Vue.js使用双向绑定的数据模型,将数据和视图进行关联。
VUE.js中文官方文档
极客云曦前端
06-09 9232
目录创建一个 Vue 应用#应用实例#根组件#挂载应用#DOM 中的根组件模板#应用配置#多个应用实例#模板语法#文本插值#原始 HTML#Attribute 绑定#简写#布尔型 Attribute#动态绑定多个值#使用 JavaScript 表达式#仅支持表达式#调用函数#受限的全局访问#指令 Directives#参数 Arguments#动态参数#修饰符 Modifiers#响应式基础#声明响应式状态#响应式代理 vs. 原始值#声明方法#DOM 更新时机#深层响应性#有状态方法#计算属性#基础示例#
vue.js基础还不会?——看这篇文章就够了
十九万里的博客
04-30 1万+
知识点: vue.jsj介绍 指令 修饰符 计算属性 侦听器 过滤器 生命周期 组件 路由 一、vue.js介绍 vue是一套用于构建用户界面的渐进式框架 vue的核心只关注视图层,不仅容易上手,还便于与第三方库或既有项目整合 二、指令 (一)、指令 本质就是自定义属性 VUE中指令都是v-开头 (二)、内置指令 1、v-cloak 防止页面加载时出现闪烁问题 2、v-text v-text指令用于将数据填充到标签中,作用与插值表达式,但是没有闪动问题 如果数据中有html标签会将html标签一并输出
nodejs学习笔记】安全:sql注入xss攻击的概念和预防及密码加密的方式
种一棵树最好的时间是十年前,其次是现在。
10-31 1179
后端安全:sql注入xss 攻击的概念和预防。密码加密的方法等。
nodejs md5加密
10-17
在 Node.js 中,可以使用 crypto 模块来进行 md5 加密。具体实现代码如下: ```javascript const crypto = require('crypto'); function md5(str) { const hash = crypto.createHash('md5'); hash.update(str); ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值