博豪信息node如何预防sql注入
node预防sql注入的方法:
1.使用mysql.format()转义参数,例如:
var userId = 1;
var sql = "SELECT * FROM ?? WHERE ?? = ?";
var inserts = ['users', 'id', userId];
sql = mysql.format(sql, inserts); // SELECT * FROM users WHERE id = 1
2.使用connection.query()的查询参数占位符,例如:
var userId = 1, name = 'test';
var query = connection.query('SELECT * FROM users WHERE id = ?, name = ?', [userId, name], function(err, results) {
// ...
});
console.log(query.sql); // SELECT * FROM users WHERE id = 1, name = 'test'
或者改写成:
var post = {userId: 1, name: 'test'};
var query = connection.query('SELECT * FROM users WHERE ?', post, function(err, results) {
// ...
});
console.log(query.sql); // SELECT * FROM users WHERE id = 1, name = 'test'
3. 使用escapeId()编码SQL查询标识符,例如:
var sorter = 'date';
var sql = 'SELECT * FROM posts ORDER BY ' + connection.escapeId(sorter);
connection.query(sql, function(err, results) {
// ...
});
4.使用escape()对传入参数进行编码,例如:
var userId = 1, name = 'test';
var query = connection.query('SELECT * FROM users WHERE id = ' + connection.escape(userId) + ', name = ' + connection.escape(name), function(err, results) {
// ...
});
console.log(query.sql); // SELECT * FROM users WHERE id = 1, name = 'test'
版权声明
本文仅代表作者观点,不代表米安网络立场。
作者文章
- 腾讯云服务器:性能、稳定性与安全性的完美结合 4个月前 (01-20)
- 腾讯阿里服务器对比分析 4个月前 (01-20)
- 区块链服务器长什么样:一探究竟 4个月前 (01-19)
- 网吧服务器的外观和配置详解 4个月前 (01-19)
- 服务器主板:揭秘高性能计算的核心组件 4个月前 (01-19)
发表评论:
◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。