node 安全性

最新推荐文章于 2024-03-02 08:59:17 发布
最新推荐文章于 2024-03-02 08:59:17 发布
阅读量820 收藏
点赞数 1
分类专栏: node 文章标签: mysql 数据库 sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_56303170/article/details/122645175
版权

安全性

sql注入

  • 窃取数据库的内容

  • 最原始、最简单的攻击

  • 攻击方式:输入一个sql片段,最终拼接成一段攻击代码

  • 预防措施:使用mysql的escape函数处理输入内容即可

【举例】

比如一个登录网站,需要输入 账号密码

select username,realname from users where username = '${username}' and password = '${password}';

在sql语言中--代表注释,通过这个方法可以注释密码,那么就可以直接登录

输入

zhangsan'--

若数据库中存在zhangsanusername数据,那么在没有设有sql注入的情况下就会直接登录

解决方法

出现以上问题的主要原因为:前后引号的对应,出现的对应错误

使用mysql库中的escape函数

源代码

const { exec } = require("../db/mysql")
const login = (username, password) => {
    const sql = `
        select username,realname from users where username = '${username}' and password = '${password}';
    `
    return exec(sql).then(rows => {
        return rows[0] || {}
    })
}

module.exports = {
    login
}

修改后的代码

// src/db/mysql.js
......
module.exports = {
    exec,
    excape:mysql.excape
}

const { exec,escape } = require("../db/mysql")
const login = (username, password) => {
    username = escape(username)
    password = escape(password)
    const sql = `
        select username,realname from users where username = ${username} and password = ${password};
    `
    console.log(sql)
    return exec(sql).then(rows => {
        return rows[0] || {}
    })
}

module.exports = {
    login
}

区别:修改处使用了escape函数,并且在sql语言中少了’’(引号)

escape函数的主要作用就是将输入的内容进行转义并且加上引号,例如将'变为了/'避免出现引号对应产生的威胁

xss攻击

  • 窃取前端的cookie内容
  • 攻击方式:在页面展示内容中参杂js代码,以获取网页信息
  • 预防措施:转换生成js的特殊字符

【案例】

创建新博客

当我们创建的新博客的时候,需要写入 博客标题博客内容,将其存入到数据库中

之后获取博客列表的时候,是通过循环进行渲染的

此时就容易出现xss攻击

比如:

我们在写博客标题的时候写入<script>console.log(document.cookie)</script>

当前端代码进行渲染的时候因为这是一行js代码,所以就会执行

安装xss

npm install xss --save --registry=https://registry.npm.taobao.org

const xss = require('xss')
const inputValue = content // 未进行xss防御
const inputValue = xss(content) // 已进行xss防御

然后如果在 input 输入框 恶意输入 <script> alert(1) </script>, 就会被转换为下面的语句并存入数据库:

<script> alert(1) </script>,已达到无法执行 <script> 的目的。

密码加密

  • 保障用户信息安全
  • 万一数据库被用户攻破,最不应该泄露的就是用户西南西
  • 攻击方式:获取用户名和密码再去尝试登录其他系统
  • 预防措施:将密码加密,即使拿到密码也不知道明文
// 加密算法
const crypto = require('crypto')

// 密钥
const SECRET_KEY = 'GYIgiua%(abiua_'

// md5加密
function md5 (content) {
    // 创建md5的加密
    let md5 = crypto.createHash('md5')
    // 'hex'w
    return md5.update(content).digest('hex')
}

// 加密函数
function genPassword (password) {
    const str = `password=${password}&keyword=${SECRET_KEY}`
    return md5(str)
}

module.exports = {
    md5
}

使用场合:

  1. 注册的时候,将加密的密码存入到数据库中
  2. 在登录的时候,通过加密之后再去查询数据库

注意点:先进行加密后进行转义(escape),因为转义之后是自动加上引号的,那么sql语句就不用添加引号

TA_WORLD
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
node18.18版本
10-07
- **安全性更新**:确保 Node.js 在处理网络通信、文件操作等方面的安全性,避免潜在的安全风险。 - **更好的诊断工具**:可能增强了调试工具和日志记录,帮助开发者更有效地排查问题。 安装 `node-v18.18.0-x64....
node@8.17.0
最新发布
06-26
这个版本号表明这是一个稳定版(LTS,Long-Term Support),因为 Node.js 的偶数版本通常被视为 LTS 版本,提供长期支持和安全更新。 描述中没有提供额外的信息,但我们可以根据标题推断出这可能是一个安装或更新到...
nodejs安全
qq_35264936的博客
07-11 809
nodejs安全 sql注入:窃取数据库内容 xss攻击: 窃取前端的cookie内容 密码加密:保障用户信息安全 server端攻击方式非常多,预防手段也多 通过webserver(nodejs)层面预防的 有些攻击需要硬件和服务来支持(需要op支持)如 DDOS sql注入 最原始最简单的攻击,从web2.0就有了sql注入攻击 攻击的方法: 输入一个sql片段,最终拼成一段攻击代码 执...
nodejs 的安全
weixin_34268753的博客
12-26 192
 1.connect中间件csrf 原理:在express框架中csrf 是通过connect 模块的中间件来解决的。其原理是在前端构造一个隐藏的表单域“_csrf” ,后端生成一个值,作为该表单域,然后在提交表单的时候,将这个值提交到后端,后端再根据这个值来比较,如果和之前的值相等的,就认为是正确的,否则就是错误的。 我们来看看代码: module.exports = function ...
node mysql 安全_Node.js 安全指南
weixin_42511091的博客
02-08 308
当项目周期快结束时,开发人员会越来越关注应用的“安全性”问题。一个安全的应用程序并不是一种奢侈,而是必要的。你应该在开发的每个阶段都考虑应用程序的安全性,例如系统架构、设计、编码,包括最后的部署。在这篇教程中,我们将一步步来学习如何提高Node.js应用程序安全性的方法。1. 数据验证 - 永远不要信任你的用户来自用户输入或其他系统的数据,你都必须要进行验证。否则,这会对当前系统造成威胁,并导致不...
Node 后台之安全性
weixin_30416497的博客
11-29 304
1、https var https = require('https'); var fs = require('fs'); var options = { key: fs.readFileSync('./keys/214348170300525.key'), cert: fs.readFileSync('./keys/214348170300525.pem') ...
Node使用较安全方法连接MySQL——连接池
我欲乘风破浪
07-16 256
直接使用Node连接MySQL的同学都知道,第一次发出请求没问题,第二次就莫名报错,这里提供一个方法:使用连接池 const mysql = require("mysql"); const app = express(); var pool = mysql.createPool({ host : '', user : '', password : '',...
node-v12安装包
06-09
这个特定的版本号 "v12.19.0" 表示这是2020年的一个稳定版本,具有一定的安全性和性能优化。 描述中的 "node-v12.19.0-x64" 进一步确认了我们正在处理的是64位架构的 Node.js 安装程序。这里的 "x64" 是指适用于64...
浅析node应用的timing-attack安全漏洞
08-27
这种攻击类型对系统的安全性构成威胁,因此理解和防范此类攻击对于开发安全的Node.js应用至关重要。 **时序攻击(Timing Attack)** 时序攻击属于侧信道攻击的一种,它不直接针对系统的主要功能,而是利用执行过程...
node.js老版本包
03-19
2. **弃用 TLS 1.0 和 TLS 1.1**:为了提高安全性Node.js v16 完全移除了对这两个较旧的 TLS 版本的支持。 3. **HTTP/3 支持**:引入了实验性的 HTTP/3 支持,这是互联网协议的重大进步,旨在提供更低的延迟和更高...
[译]Node.js安全清单
weixin_34008805的博客
10-15 225
前言 安全性,总是一个不可忽视的问题。许多人都承认这点,但是却很少有人真的认真地对待它。所以我们列出了这个清单,让你在将你的应用部署到生产环境来给千万用户使用之前,做一个安全检查。 以下列出的安全项,大多都具有普适性,适用于除了Node.js外的各种语言和框架。但是,其中也包含一些用Node.js写的小工具。 配置管理 安全性相关的HTT...
Node安全项目要进一步提升Node.js的安全性
cpongo5
07-02 205
为了增强Node.js的安全性Node安全项目已经默默地工作了几个月的时间。这个项目审查Node.js现有的模块的目标是 ,帮助“改善Node生态圈,增强开发人员和企业对Node.js领域安全性的信心。”\这个项目计划通过一个标签系统以分布式方式执行本次审查,该系统提供了处理咨询、问题以及拉动需求的骨架,这样就可以在Node社区的帮助下完善模块了。\\Node.js的主要安全担忧之一就是服务端J...
Nodejs的安全学习
unexpectedthing的博客
02-21 2208
文章目录Nodejs的文档弱类型大小写比较js大小写绕过ctfshow web334ES6模板字符串命令执行ctfshow web335ctfshow web336数组绕过ctfshow web337原型链污染概念介绍ctfshow web338VM沙盒逃逸知识点CTF题目参考文献 Nodejs的文档 http://nodejs.cn/learn 弱类型 大小写比较 跟php比较相似 console.log(1=='1'); //true console.log(1>'2'); //false co
node中后台安全的防护
domino~~的博客
09-23 463
node中后台安全的防护 在进行server端开发的过程中,有一个与前端管理很大的不同的地方就是在于要做好安全的防护。来防卫恶意的攻击,以此来保护数据的安全。因此首先来介绍一些常见的攻击后台的方式: 在做服务器时,一定要注意安全问题。常见的安全问题...
Node.js微服务 5:安全性和可追溯性
Just for fun的专栏
01-27 590
从大型企业中泄漏的信息数量之大令人担忧,尤其是90%的信息泄漏问题只需要开发工程师稍加处理就可以修复。    讨论如何管理安全与日志,以保证系统是安全的、可追溯的。 5.1 基础设施的逻辑安全 5.2 应用程序安全 5.3 可追溯性 5.4 审计
Node.Js 连接数据库
weixin_42581036的博客
11-03 91
Node.Js 数据库操作
Node.js中的数据加密和安全传输
有我更精彩的博客
03-02 1303
在当今日益数字化的世界中,数据安全一直是一个备受关注的话题。Node.js作为一种流行的后端开发技术,其在数据加密和安全传输方面的应用也备受关注
Node常见的三种安全防范手段
老司机的后备箱
03-31 295
最近也是在学习 Node 相关的知识, 以上就是关于开发 Node 服务端,常见的三种安全防范手段最后,文中如有错误,欢迎大家在评论区指正,如果本文对你有帮助, 记得和关注❤️如需转载请标明作者和出处最近还整理一份JavaScript与ES的笔记,一共25个重要的知识点,对每个知识点都进行了讲解和分析。能帮你快速掌握JavaScript与ES的相关知识,提升工作效率。有需要的小伙伴,可以点击下方卡片领取,无偿分享。
nodejs 如何安装mysql数据库_nodejs怎么连接mysql数据库
weixin_33939716的博客
01-19 329
安装$ npm install mysql有关之前的0.9.x版本的信息, 请访问 v0.9分支。有时我还会要求你从Github安装最新版以检查bug是否已修复。在这种情况下,请输入:$ npm install mysqljs/mysql引言这是node.js的mysql驱动。它是用JavaScript编写的,不需要编译,完全遵循MIT许可协议。下面是一个如何使用它的例子:var mysql = ...
Node.js应用安全防护实战
书中强调了正确处理用户输入的重要性,比如使用参数化查询、转义特殊字符、验证输入和使用安全的模板引擎来防止这类攻击。 2. **数据库安全**:针对数据库注入,书中有深入的讨论,包括使用预编译语句、设置严格的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值