含有参数的sql拼接_Node.js必知必会: 防止SQL注入

最新推荐文章于 2024-08-14 08:32:02 发布
最新推荐文章于 2024-08-14 08:32:02 发布
阅读量623 收藏 1
点赞数
文章标签: 含有参数的sql拼接
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_28818721/article/details/112243573
版权
本文讲述了SQL注入的原理及如何在Node.js中修复此类漏洞。通过校验参数类型、使用sqlstring进行字符串转译以及探讨预编译查询等方法,避免了未经检查的用户输入导致的SQL注入问题。示例代码展示了如何在实际操作中应用这些防御措施。
摘要由CSDN通过智能技术生成

7b4f4c970580bc9ec5538a1606a648b6.png

圣诞节临近下班时收到一封安全审核邮件, 大概内容是说存在SQL注入漏洞需要紧急修复(WTF?), 好吧, 圣诞计划泡汤了, 开始修复漏洞吧。

引发SQL注入漏洞的原因

当谈起Web安全时我们最常听到的关键词就是: SQL注入(SQL Injection), 那什么是SQL注入?

SQL注入的漏洞是指: 未经检查或者未经充分检查的用户输入数据,意外变成了代码被执行

再来看一下代码中哪里有该漏洞: 因为历史原因, 执行的SQL是存在数据库中的, 每次查询时会将存在数据库里的SQL语句与用户传递的参数进行拼接, 然后发送给数据库引擎执行, 举个例子:

// 用户查询参数
const query = {
  pageSize: 10
}

let sqlStatement = `select * from users limit {
    {pageSize}}`

sqlStatement = sqlStatement.replace(/{
    {(w+)}}/, value=>{
      return query[value.slice(2, -2)] // 将上述sql中limit替换成10
})

await client.query(sqlStatement)

从上面的代码中我们可以发现: 并没有对用户的数据进行充分的检查, 因此上述代码是存在SQL注入风险的!

攻击者可以修改pageSize为很大, 如果数据库中的数据很多的话, 连续发起这样的请求会导致数据库查询阻塞, 其他用户得不到响应。

再来看另一处代码

const name = "' or 1 =1--max '"

let sqlStatement = `select * from users where name= '${name}'`
await client.query(sqlStatement)

程序中依然没有对用户的数据进行校验, 直接将用户传入的name拼接到SQL语句中并发起查询。

造成的结果是: 本来期望的是根据用户名查询某个用户的信息, 被攻击者通过传入单引号将原SQL语句where条件中的name闭合如name=''成为一个假条件, 然后通过or 1 = 1创造一个永远执行的真条件, 最后通过注释--将后面的语句注释掉以防报错。

原来期望的结果是查询指定用户信息:

最低0.47元/天 解锁文章
诗与星空
关注
sql语句拼接
胡泽宽-廊坊师范学院信息技术提高班-十三期
04-01 658
在组合查询是怎样用一个简单的方法,判断局部控件是否为空呢? if (cmbrelation1.Text == "") //第一个逻辑符号为空 { Control[] arrcontrol = new Control[3]; arrcontrol[0] = cmbfields1;//第一行文本框的名字
JS代码防止SQL注入的方法(超简单)
10-22
下面通过两个方面给大家介绍js代码防止sql注入的方法,非常简单实用,感兴趣的朋友参考下吧
两段简单的JS代码防止SQL注入
weixin_30387799的博客
08-31 106
1.URL地址防注://过滤URL非法SQL字符varsUrl=location.search.toLowerCase();varsQuery=sUrl.substring(sUrl.indexOf("=")+1);re=/select|update|delete|truncate|join|union|exec|insert|drop|count|’|"|;|>|<|%/i;i...
SQL注入挖src漏洞实战解析(非常详细)零基础门到精通,收藏这一篇就够了
最新发布
Python_0011的博客
08-14 660
clickhouse的常规利用:1、如何判断/证明存在sql注入,大概整理了下面3点1)对于存在筛选的功能,会存在一些时间参数以及排序,此种情况下,使用单引号拼接进行注判断,最明显的为时间参数,报错注时会把sql语句报出,盲注则会返回“系统错误”以及不同的响应长度等信息,如:
如何支持动态拼接SQL参数查询
weixin_34092455的博客
12-27 763
--如何支持动态拼接SQL参数查询 --本demo主要演示,如何在拼接SQL语句的情况下参数查询 --建立测试表 createtableoswica_test_table_1 ( idint, namevarchar(50), remarkvarchar(100) ) go --写部分测试数据 insert...
node.js控制mysql查询语句
张羽的博客
09-27 706
node.js控制mysql查询语句
简单SQL语句拼接模块(Nodejs版)
ZTao-z的博客
06-24 3513
(1) 构造一个通用的数据库语句结构体 // 返回数据库结构体 var getSQLObject = function(){ return { // select/update/delete/insert "query": "select", // table name "tables": "", "data":{ // for select, use ("key": ...
sql注入
broad_ocean的博客
12-05 223
sql注入实例一、使用方法假设有一张category表,里面有两个字段名(id,name);我们构造了一个插函数InsertData(string caName)1、正常的插语句,我们只需要填写类别名称(娱乐新闻)sql = insert into category(name) values ('娱乐新闻');2、 通过拼接字符串的方法插sql = insert into category(n
nodejs中验证收到的请求
qq_42880714的博客
11-11 682
nodejs中验证收到的请求
防止xss和sql注入:JS特殊字符过滤正则
10-27
在服务器端,应当使用预编译的SQL语句(如PHP的PDO或Node.js的mysql模块),或者使用参数查询,确保即使输包含恶意SQL片段,也不会被执行。 总结起来,防止XSS和SQL注入需要综合运用多种技术,包括但不限于前端...
sqlstring:MySQL的简单SQL转义和格式
02-04
sql字符串 MySQL的简单SQL转义和格式 安装 $ npm install sqlstring 用法 var SqlString = require ( 'sqlstring' ) ; 转义查询值 注意:这些转义值的方法仅在禁用 SQL模式(MySQL服务器的默认状态)时才有效。 为了避免SQL注入攻击,在SQL查询中使用用户提供的数据之前,应始终对其进行转义。 您可以使用SqlString.escape()方法执行此操作: var userId = 'some user provided value' ; var sql = 'SELECT * FROM users WHE
node-mysql防止SQL注入的方法总结
09-09
Node.js环境中,使用`node-mysql`库进行数据库操作时,必须采取措施来防范SQL注入。 一、SQL注入的防范方法 1. **使用`escape()`方法**: `node-mysql`提供`escape()`, `connection.escape()`, 和 `pool.escape...
mysqls一款专为node.js生成sql语句的插件链式调用使用灵活
08-10
MySQLs是一款专为Node.js设计的SQL语句生成器,其特点是通过链式调用的方式提供了灵活的操作体验。在Node.js的开发环境中,与数据库交互是必不可少的一部分,而MySQLs插件则为开发者提供了一个高效且易用的工具,...
node egg.js 拼接sql语句实现模糊条件查询
树上骑个猴的博客
03-27 1117
应用场景: 1.满足用户在页面初始化时(即“课程名称”和“星期”都为空)点击“查询”按钮,能够查询出全部的数据。 2.满足用户只输“课程名称“可以进行模糊查询 3.满足用户只选择“星期”就可以进行模糊查询 使用下面代码的前置要求:前端只把有值的key传给后端。比如查询条件{name:'', age:undefined, sex:'1'}那么只有{sex:'1'}会传到后端。 代码: // 查询数据库 async getCourse(params) { try { const
nodejs mysql 参数,如何传递参数nodejs中的mysql查询回调
weixin_35979889的博客
01-19 705
I'm trying to figure out the correct way of passing custom data to a query call to be made available in the callback.I'm using MySQL library in nodejs (all latest versions).I have a call to connection...
nodejs中查询sql用字符串拼接sql语句
qq_51441779的博客
06-30 1843
nodejs中查询sql用字符串拼接sql语句 update 表名 set 字段名="' + req.body.avatar + '" where id = ' + req.user.id
nodejs将数据传mysql,如何将参数和传出到mysql存储过程并在nodejs代码中返回存储过程结果...
weixin_39614521的博客
01-19 404
connection.query("call vts_active_tagid('"+RFIDNumber+"','"+Latitude+"','"+Longitude+"','"+datetime+"','"+imeno+"',@passengers,@trip)");this stored procedure gives one output which contains firstname,...
sql解决非空则按条件查询,条件值为空则不使用该条件查询
Otaku love travel
09-16 9764
SQL解决方案当传某个值为查询条件,非空则按条件查询,条件值为空则不使用该条件查询 (初版:仅供参考,暂不考虑SQL优化) sql如下: select * from 表名 t where -- 查询条件 当值为非空时,结果为1,反之为0 case when t.列名= '值' then (case when '值' is not null then '1' else '0'...
SQLServer存储过程参数值为空时不作为查询条件
热门推荐
鱼吾的博客
02-18 1万+
DECLARE @chrEmployeeSex NVARCHAR(10) = '' --声明性别变量 SELECT * FROM Employee WHERE fintEmployeeAge > 30 --查询年龄大于30岁的所有员工 --若@chrEmployeeSex不为空则添加性别查询条件,否则令chrEmployeeSex=chrEmployeeSex,此等式恒成立,等效于
nodesql
06-29
Node.js 作为JavaScript运行环境,虽然不像PHP或SQL Server那样直接处理SQL查询,但它仍然可以避免SQL注入攻击,特别是在使用ORM(对象关系映射)库或者处理来自用户输的数据时。以下是一些防止Node.js SQL注入的常见方法: 1. 使用预编译语句(PreparedStatement)或参数查询(Parameterized Queries): 不要把用户输直接拼接SQL字符串中,而是将它们作为参数传递给数据库查询函数,这样数据库会自动处理转义。 2. ORM工具:许多Node.js ORM库如Sequelize、TypeORM等内置了防止SQL注入的功能,它们会自动处理数据的转义和绑定。 3. 数据验证:在接收到用户输后,对数据进行严格的格式检查和验证,只允许预期的格式的数据进查询。 4. 使用安全的库:一些库如`mysql2-promise-safe`提供了安全的API,可以减少SQL注入的风险。 5. 不执行来自不可信源的代码:如果你的应用从用户那里接收并执行SQL查询,确保只执行来自可信来源的数据。 6. 错误处理和日志记录:对异常进行适当的处理,并记录所有SQL查询,以便发现和追踪可能的注尝试。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值