Node.js 解决sql注入问题

最新推荐文章于 2024-08-04 19:30:48 发布
最新推荐文章于 2024-08-04 19:30:48 发布
阅读量2.1k 收藏 2
点赞数
分类专栏: js 文章标签: nodejs sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xuforeverlove/article/details/88945735
版权

这段时间维护Node.js编写的项目,发现登陆SQL注入问题。经过一番折腾解决了这个问题,现记录如下:

一、问题描述 

const crypto = require('crypto');
const conn = require('../../libs/Conn');
const mysql = require('mysql');

module.exports = async function (params) {
    let hash = crypto.createHash('sha256');
    let login_name = params.login_name;
    let password = hash.update(params.password).digest('hex');
    let sql = `SELECT uf.* FROM user_file uf WHERE uf.login_name = '${login_name}' AND uf.password = '${password}' AND
              uf.delete_sign = 1;
        `;
    let user = (await conn(sql)).shift();
    return user;
};

这样的方式很容易被人在动态参数中加入特殊字符产生sql注入,威胁数据库的安全。

如果 login_name 输入'or'1'='1,SQL语句会变成  uf.login_name = '' or '1' = '1' AND uf.password = ' ' 

也就是说不需要知道登录名,只要输密码就可以。

二、解决方案

如果对参数使用escape,就能将参数中的特殊字符进行转义,防止sql的注入。

WHERE uf.login_name = `+ mysql.escape(login_name) +` AND uf.password = `+ mysql.escape(password) +`

三、拓展

   3.1 使用escape()对传入参数进行编码

mysql.escape(param)

connection.escape(param)

pool.escape(param)

  3.2 escape()方法编码规则如下

   
    Numbers不进行转换;
    Booleans转换为true/false;
    Date对象转换为’YYYY-mm-dd HH:ii:ss’字符串;
    Buffers转换为hex字符串,如X’0fa5’;
    Strings进行安全转义;
    Arrays转换为列表,如[‘a’, ‘b’]会转换为’a’, ‘b’;
    多维数组转换为组列表,如[[‘a’, ‘b’], [‘c’, ‘d’]]会转换为’a’, ‘b’), (‘c’, ‘d’);
    Objects会转换为key=value键值对的形式。嵌套的对象转换为字符串;
    undefined/null会转换为NULL;
    MySQL不支持NaN/Infinity,并且会触发MySQL错误。

参考:https://blog.csdn.net/lin_tuer/article/details/54809330

xuforeverlove
关注
专栏目录
node-mysql防止SQL注入的方法总结
09-09
大家都知道SQL注入对于网站或者服务器来讲都是一个非常危险的问题,如果这一方面没处理好的话网站可能随时给注入了,所以这篇文章就给大家总结了node-mysql防止SQL注入的几种常用做法,有需要的朋友们可以参考借鉴。
node.js+jQuery实现用户登录注册AJAX交互
10-19
Node.js是一种基于Chrome V8引擎的JavaScript运行环境,它使得JavaScript能够在服务器端执行。Node.js的非阻塞I/O模型和事件驱动机制允许它高效处理并发请求,适合处理高并发场景。在本案例中,Node.js用于构建...
nodejs mysql sql注入_Node.js 项目中解决 SQL 注入和 XSS 攻击
weixin_42323064的博客
01-19 902
1.SQL 注入SQL 注入,一般是通过把 SQL 命令插入到 Web 表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的 SQL 命令。SQL 注入示例在登录界面,后端会根据用户输入的用户(username)和密码(password),到 MySQL 数据库中去验证用户的身份。用户输入用户名【cedric】 , 密码【123456】,在后端处理时,会进行如下 sql 语句拼接...
Node.js 中,如何防止 SQL 注入?
最新发布
有我更精彩的博客
08-04 543
防止 SQL 注入是保护应用程序和数据库安全的重要步骤。我们可以通过参数化查询、ORM 等方式有效地避免 SQL 注入攻击。在实际项目中,建议始终采用这些最佳实践,以提高代码的安全性。最后问候亲爱的朋友们,并邀请你们阅读我的全新著作。
node中解决sql注入问题
一只勤劳的二哈的博客
06-02 833
什么是sql注入? 用户通过注入sql语句到最终查询中,导致了整个sql与预期行为不符,本来是查询行为,却做了其他事情,比如添加/更改了数据 解决sql注入 关键点:sql变量的内容不作为任何sql关键字 使用:.execute()执行sql语句 代码实现 驱动程序使用的是mysql2 npm install mysql2 引入依赖 创建连接池 定义sql语句,变量处用** ? **代替 .execute(sql语句,[对应变量])解决sql注入 .query()会导致sql注入,它的变量处是字符串拼接
NodeJS mysql需要注意sql注入
weixin_39415598的博客
07-07 588
本文简介 点赞 + 关注 + 收藏 = 学会了 虽然现在不会直接使用 原生NodeJS 的方式开发后台,但了解一下 SQL注入 还是很有必要的。 本文使用 NodeJS + MySQLSQL注入 进行讲解。 SQL注入攻击 是很古老的攻击方式了,自从 web2.0 诞生后就有 SQL注入攻击。它通常出现在 输入框 、文本域 等前端组件中。在输入的内容里加入 SQL语句 ,并一同传给后台。 后台一不小心就会将前端传过来的 SQL语句 拼接到自己的 SQL语句 中,最终拼接成一段攻击代码。 所
nodejs mysql 注入_node.js sql 注入攻击防御方法 (sql Injection)
weixin_33419842的博客
01-19 262
sql 注入的原理和方法应该都知道了,这里记录一下node-mysql提供的现成的apihttps://github.com/felixge/node-mysqlnode-mysql 提供了接口In order to avoid SQL Injection attacks, you should always escape any userprovided data before using it...
node.js 开发指南 – Node.js 连接 MySQL 并进行数据库操作
10-25
Node.js是一种基于Chrome V8引擎的JavaScript运行环境,它使用事件驱动、非阻塞I/O模型,使得JavaScript能够编写高性能的网络服务器。Node.js非常适合处理I/O密集型的应用程序,如Web服务器。 MySQL是一种流行的...
FxSQL:Node.js功能SQL查询生成器和ORM
05-02
FxSQL-Node.js功能SQL查询生成器和ORM | 特征 标记模板文字 没有型号。 只需要函数和javascript数据类型。 承诺。 转换为JSON无需花费任何费用。 使用SQL语法的更多自由。 防止SQL注入攻击。 易于使用的...
node.js+mysql博客全栈系统源码.zip
03-20
2. 数据安全:对用户输入进行校验,防止SQL注入。 3. 性能优化:使用连接池管理数据库连接,避免频繁创建和关闭连接。 4. 路由缓存:使用缓存策略提高请求响应速度,减轻数据库压力。 七、部署与运维 1. 配置管理:...
Node.js-由node.js书写企业内容管理系统
08-10
Node.js 是一个基于 Chrome V8 引擎的 JavaScript 运行环境,它让开发者能够使用 JavaScript 来进行服务器端编程。这个技术的出现极大地推动了Web应用的开发效率,特别是对于实时、高并发的网络应用来说,Node.js ...
节点卫士:ExpressJS中间件可防止NoSQL注入
02-20
节点守护者 ExpressJS中间件可防止NoSQL注入
node 防止sql注入
hanlt的专栏
12-04 580
在node中的app.js中加如下: var sqlinjection = require('sql-injection'); app.use(sqlinjection);
Node.js实战】一文带你开发博客项目之安全(sql注入、xss攻击、md5加密算法)
wangluoanquan111的博客
01-31 1163
前面,我们使用原生 nodejs 已经大体完成了 myblog 的项目,下面我们来学习一下如何为我们项目的安全保驾护航…sql注入:窃取数据库内容XSS攻击:窃取前端的 cookie 内容密码加密:保障用户信息安全(重要!我们只关注通过 web server (nodejs)层面预防至此,我们明白了如何防止sql注入、如何预防xxs攻击、以及如何为密码加密继续跟进学习吧!后续会对该项目进行多次重构【多种框架(express,koa)和数据库(mysql,sequelize,mongodb)】
node.js mysql防注入,如何防止使用Node.JS进行SQL注入
weixin_34430676的博客
02-28 292
How could I select a row of MS SQL server database with Node.JS with preventing SQL injection? I use the express framework and the package mssql.Here is a part of my code I use now with a possibility ...
node.js mysql防注入_javascript - 阻止Node.js中的SQL注入
weixin_36134871的博客
02-19 265
是否有可能阻止Node.js中的SQL注入(最好使用模块),就像PHP具有保护它们的Prepared Statements一样。如果是这样,怎么样? 如果没有,有哪些例子可能会绕过我提供的代码(见下文)。一些背景:我正在使用node-mysql模块制作一个带有Node.js + MySql的后端堆栈的Web应用程序。 从可用性的角度来看,该模块很棒,但它还没有实现类似于PHP的Prepared S...
node封装sql分页函数(动态注入查询条件)
creatlh的博客
04-20 325
【代码】node封装sql分页函数(动态注入查询条件)
node JS 中安全和防范之 sql 注入、XSS攻击 和 密码加密
浮生离梦的博客
12-12 1524
一、安全 对于安全,如下所示: sql 注入:窃取数据库内容 XSS 攻击:窃取前端的 cookie 内容 密码加密:保障用户信息安全 server 端攻击方式非常多,预防手段也非常多 nodejs 可以通过 web server 层面预防 有些攻击需要硬件和服务来支持,需要 OP 支持,如 DDOS 二、sql 注入 sql 注入,如下所示: 最原始、最简单的攻击,从有了 web2.0 就有了 sql 注入攻击 攻击方式:输入一个 sql 片段,最终拼接成一段攻击代码 预防措施:使用 MyS
Node.js 项目中解决 SQL 注入和 XSS 攻击
weixin_34186128的博客
06-08 314
1.SQL 注入 SQL 注入,一般是通过把 SQL 命令插入到 Web 表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的 SQL 命令。 SQL 注入示例 在登录界面,后端会根据用户输入的用户(username)和密码(password),到 MySQL 数据库中去验证用户的身份。 用户输入用户名【cedric】 , 密码【123456】,在后端处理时,会进行如下 sql ...
注册页面用户信息怎么插入数据库用node.jssql sever
07-13
要将注册页面中的用户信息插入到SQL Server数据库中,你可以使用Node.js来编写后端代码,并使用相应的SQL Server驱动程序来连接和操作数据库。 首先,确保你已经安装了Node.jsSQL Server,并在项目目录下创建一个`package.json`文件来管理依赖项。 1. 安装所需的依赖项: 使用以下命令安装`mssql`包,这是一个用于连接和操作SQL Server数据库的Node.js驱动程序。 ``` npm install mssql ``` 2. 在你的Node.js代码中导入所需的模块和配置数据库连接: ```javascript const sql = require('mssql'); const config = { user: 'your_username', password: 'your_password', server: 'your_server', database: 'your_database', options: { encrypt: true // 如果需要,请启用加密连接 } }; ``` 3. 在注册页面处理用户提交的表单数据时,使用以下代码将用户信息插入到SQL Server数据库中: ```javascript // 假设你从注册页面接收到了以下用户信息 const { username, email, password } = req.body; // 连接数据库并执行插入操作 sql.connect(config, (err) => { if (err) { console.log(err); return; } const request = new sql.Request(); request.query(`INSERT INTO Users (username, email, password) VALUES ('${username}', '${email}', '${password}')`, (err, result) => { if (err) { console.log(err); return; } console.log('用户信息已成功插入数据库'); }); }); ``` 请注意,上述代码仅为示例,应根据你的数据库表结构和需求进行相应的修改。另外,为了防止SQL注入攻击,请确保对用户输入的数据进行适当的验证和转义。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值