node mysql 注入_node-mysql中防止SQL注入

最新推荐文章于 2021-02-19 05:59:37 发布
最新推荐文章于 2021-02-19 05:59:37 发布
阅读量99 收藏
点赞数
文章标签: node mysql 注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42568801/article/details/113218276
版权

为了防止SQL注入,可以将SQL中传入参数进行编码,而不是直接进行字符串拼接。在node-mysql中,防止SQL注入的常用方法有以下四种:

方法一:使用escape()对传入参数进行编码:

参数编码方法有如下三个:

mysql.escape(param)

connection.escape(param)

pool.escape(param)

例如:

var userId = 1, name = 'test';

var query = connection.query('SELECT * FROM users WHERE id = ' + connection.escape(userId) + ', name = ' + connection.escape(name), function(err, results) {

// ...

});

console.log(query.sql); // SELECT * FROM users WHERE id = 1, name = 'test'

escape()方法编码规则如下:

Numbers不进行转换;

Booleans转换为true/false;

Date对象转换为’YYYY-mm-dd HH:ii:ss’字符串;

Buffers转换为hex字符串,如X’0fa5’;

Strings进行安全转义;

Arrays转换为列表,如[‘a’, ‘b’]会转换为’a’, ‘b’;

多维数组转换为组列表,如[[‘a’, ‘b’], [‘c’, ‘d’]]会转换为’a’, ‘b’), (‘c’, ‘d’);

Objects会转换为key=value键值对的形式。嵌套的对象转换为字符串;

undefined/null会转换为NULL;

MySQL不支持NaN/Infinity,并且会触发MySQL错误。

方法二:使用connection.query()的查询参数占位符:

可使用 ? 做为查询参数占位符。在使用查询参数占位符时,在其内部自动调用 connection.escape()方法对传入参数进行编码。

如:

var userId = 1, name = 'test';

var query = connection.query('SELECT * FROM users WHERE id = ?, name = ?', [userId, name], function(err, results) {

// ...

});

console.log(query.sql); // SELECT * FROM users WHERE id = 1, name = 'test'

上面程序还可以改写成如下:

var post = {userId: 1, name: 'test'};

var query = connection.query('SELECT * FROM users WHERE ?', post, function(err, results) {

// ...

});

console.log(query.sql); // SELECT * FROM users WHERE id = 1, name = 'test'

方法三: 使用escapeId()编码SQL查询标识符:

如果你不信任用户传入的SQL标识符(数据库、表、字符名),可以使用escapeId()方法进行编码。最常用于排序等。escapeId()有如下三个功能相似的方法:

mysql.escapeId(identifier)

connection.escapeId(identifier)

pool.escapeId(identifier)

例如:

var sorter = 'date';

var sql = 'SELECT * FROM posts ORDER BY ' + connection.escapeId(sorter);

connection.query(sql, function(err, results) {

// ...

});

方法四: 使用mysql.format()转义参数:

准备查询,该函数会选择合适的转义方法转义参数    mysql.format()用于准备查询语句,该函数会自动的选择合适的方法转义参数。

例如:

var userId = 1;

var sql = "SELECT * FROM ?? WHERE ?? = ?";

var inserts = ['users', 'id', userId];

sql = mysql.format(sql, inserts); // SELECT * FROM users WHERE id = 1

参考文章:

拳力向前
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
node-mysql防止SQL注入的方法总结
09-09
大家都知道SQL注入对于网站或者服务器来讲都是一个非常危险的问题,如果这一方面没处理好的话网站可能随时给注入了,所以这篇文章就给大家总结了node-mysql防止SQL注入的几种常用做法,有需要的朋友们可以参考借鉴。
registration_system-mysql-node-express-
02-13
【标题】"registration_system-mysql-node-express-" 是一个基于Node.js、MySQL和Express.js的注册系统项目。这个项目旨在帮助新手学习如何构建一个实际的Web应用程序,特别是涉及到用户注册功能。 【描述】提到...
学习笔记:node-mysql防止SQL注入
08-10 581
备注: 本文针对 mysqljs/mysql。 为了防止SQL注入,可以将SQL传入参数进行编码,而不是直接进行字符串拼接。在node-mysql防止SQL注入的常用方法有以下四种: 方法一:使用escape()对传入参数进行编码: 参数编码方法有如下三个: mysql.escape(param) connection.escape(param) pool.escape(par
node mysql 注入_Node.js往MySQL大量注入数据
weixin_33656211的博客
01-19 184
这次给大家带来Node.js往MySQL大量注入数据,Node.js往MySQL大量注入数据的注意事项有哪些,下面就是实战案例,一起来看一下。1.数据库连接var mysql = require('mysql');// 数据库信息var connection = mysql.createConnection({host : 'localhost',user : '数据库用户名',passwor...
node mysql 注入_防止Node.js进行SQL注入
weixin_29541589的博客
01-28 164
是否可以以与PHP具有防止它们攻击的Prepared语句相同的方式来防止Node.js(最好是使用模块)进行SQL注入。如果是这样,怎么办?如果没有, 那么有哪些示例 可能会绕过我提供的代码(请参见下文)。一些上下文:我正在使用node-mysql模块制作一个包含Node.js +MySql的后端堆栈的Web应用程序。从可用性的角度来看,该模块很棒,但是它尚未实现类似于PHP的Prepared...
sql_node-master.zip_MYSQL_node笔记_sql
09-25
在本压缩包“sql_node-master.zip_MYSQL_node笔记_sql”,主要涵盖了使用Node.js进行MySQL数据库操作的相关知识。Node.js是一种基于Chrome V8引擎的JavaScript运行环境,它以其高效、非阻塞I/O和事件驱动的特点,...
node-red-node-mysql-1.0.3.tgz
最新发布
04-10
安装这个包后,你将在Node-RED环境得到一个MySQL数据库节点,允许你在不编写复杂代码的情况下与MySQL数据库进行交互。这个节点支持四大基本的数据库操作:增(INSERT)、删(DELETE)、改(UPDATE)和查(SELECT)...
MySQL数据库开发教程-基础概念、SQL语法和Node.js操作详解
08-22
- 最后给出了Node.js操作MySQL数据库的代码示例。 适用人群: - 需要使用关系型数据库的软件开发人员 - 要学习MySQL数据库相关知识的学生或 enthusiast 使用场景: - 需要持久化存储和管理结构化数据的软件系统 ...
mysql 注入的方法_node-mysql防止SQL注入的方法总结
weixin_39688019的博客
01-18 239
SQL注入简介SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。node-mysql防止SQL注入为了防止SQL注入,可以将SQL传入参数进行编码,而不是直接进行字符串拼接。在node-mysql防止SQL注入的常用方法有以下四种:方法一:使用escape()对传入参数进行编码:参数编码...
node mysql 注入_node-mysql防止SQL注入常用做法
weixin_35832025的博客
01-27 199
SQL注入对于网站及服务器来讲都是一个非常危险问题,程序员在这一方面没处理好的话网站可能随时给注入了,今天我们来讲一篇关于node-mysql防止SQL注入常用做法,具体如下。备注: 本文针对mysqljs/mysql。为了防止SQL注入,可以将SQL传入参数进行编码,而不是直接进行字符串拼接。在node-mysql防止SQL注入的常用方法有以下四种:方法一:使用escape()对传入参数...
node-mysql防止SQL注入
SoulWwb的博客
03-30 742
node-mysql防止SQL注入 备注: 本文针对 mysqljs/mysql 。 为了防止SQL注入,可以将SQL传入参数进行编码,而不是直接进行字符串拼接。在mysql防止SQL注入的常用方法有以下四种: 方法一:使用escape()对传入参数进行编码: 参数编码方法有如下三个: mysql.escape(param) connection.escape(param...
node.js mysql注入_javascript - 阻止Node.jsSQL注入
weixin_36134871的博客
02-19 231
是否有可能阻止Node.jsSQL注入(最好使用模块),就像PHP具有保护它们的Prepared Statements一样。如果是这样,怎么样? 如果没有,有哪些例子可能会绕过我提供的代码(见下文)。一些背景:我正在使用node-mysql模块制作一个带有Node.js + MySql的后端堆栈的Web应用程序。 从可用性的角度来看,该模块很棒,但它还没有实现类似于PHP的Prepared S...
node mysql 注入_node-mysql防止SQL注入的方法
weixin_39739846的博客
02-02 306
大家都知道SQL注入对于网站或者服务器来讲都是一个非常危险的问题,如果这一方面没处理好的话网站可能随时给注入了,所以这篇文章就给大家总结了node-mysql防止SQL注入的几种常用做法,有需要的朋友们可以参考借鉴。SQL注入简介SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。node-my...
node mysql 安全_node-mysql防止SQL注入的方法总结
weixin_39920415的博客
01-19 190
SQL注入简介SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。node-mysql防止SQL注入为了防止SQL注入,可以将SQL传入参数进行编码,而不是直接进行字符串拼接。在node-mysql防止SQL注入的常用方法有以下四种:方法一:使用escape()对传入参数进行编码:参数编码...
MySQLSQL注入
php菜鸟见闻录
11-15 794
1,mysql_real_escape_string()函数已经不安全,可以利用编码的漏洞来实现输入任意密码就能登录服务器的注入攻击 2,使用拥有Prepared Statement机制的PDO和MYSQLi来代替mysql_query(注:mysql_query自 PHP 5.5.0 起已废弃,并在将来会被移除) 【注:PreparedStatement使用预编译机制,在创建PreparedSt...
SQL注入 学习笔记
默无闻的专栏
01-10 878
SQL注入是个老话题,前一段招了,所以总结了些注意事项,可以快速简单的帮助防止大部分的注入攻击 个人觉得参数化和数据库权限是相对简单和有效的方案。
mysql占位符node_node sql语句占位符用法(sql注入攻击)
weixin_42570769的博客
01-25 676
1.const mysql=require("mysql");const db=mysql.createConnection({host:"localhost",port:3306,user:‘root‘,password:‘123456‘,database:‘blog‘,//数据库名multipleStatements: true,//可执行多条sql语句});2.db.query(‘selec...
Node-Mysql 防止 sql 注入方法
Osenki
12-07 448
方法一:使用escape()对传入参数进行编码: 参数编码方法有如下三个: mysql.escape(param) connection.escape(param) pool.escape(param) 例如: var userId = 1, name = 'test'; var query = connection.query('SELECT * FROM users WHERE id = '...
node mysql insert语法_nodejs之MySQL插入数据--提示语法错误
06-07
好的,你的第一个问题是关于 node.js 和 MySQL 插入语句的语法错误提示,是吗? 首先,你需要确保你的 MySQL 语句的语法是正确的。MySQL 插入语句的基本语法如下: ``` INSERT INTO table_name (column1, column2, column3, ...) VALUES (value1, value2, value3, ...); ``` 其,`table_name` 是你要插入数据的表的名称,`column1, column2, column3` 是你要插入的列的名称,`value1, value2, value3` 是你要插入的值。 在 node.js ,你可以使用 `mysql` 模块来连接和操作 MySQL 数据库。下面是一个示例代码,演示如何使用 `mysql` 模块来插入数据到 MySQL 数据库: ```javascript const mysql = require('mysql'); const connection = mysql.createConnection({ host: 'localhost', user: 'root', password: 'password', database: 'mydatabase' }); connection.connect((err) => { if (err) throw err; console.log('Connected!'); const sql = "INSERT INTO customers (name, address) VALUES ('John Doe', 'Highway 71')"; connection.query(sql, (err, result) => { if (err) throw err; console.log('1 record inserted'); connection.end(); }); }); ``` 在上面的代码,我们创建了一个 `mysql` 连接对象 `connection`,并在连接成功后,使用 `connection.query()` 方法来执行 MySQL 插入语句。 如果你使用类似上面的代码来执行 MySQL 插入语句,但是仍然遇到语法错误提示,那么你需要检查你的 MySQL 语句是否正确。你可以尝试在 MySQL 命令行执行你的 MySQL 语句,以确保它没有语法错误。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值