node-mysql中防止SQL注入
备注: 本文针对mysqljs/mysql。javascript
为了防止SQL注入,能够将SQL中传入参数进行编码,而不是直接进行字符串拼接。在node-mysql中,防止SQL注入的经常使用方法有如下四种:php
方法一:使用escape()对传入参数进行编码:
参数编码方法有以下三个:html
mysql.escape(param) connection.escape(param) pool.escape(param)
例如:java
var userId = 1, name = 'test'; var query = connection.query('SELECT * FROM users WHERE id = ' + connection.escape(userId) + ', name = ' + connection.escape(name), function(err, results) { // ... }); console.log(query.sql); // SELECT * FROM users WHERE id = 1, name = 'test'
escape()方法编码规则以下:
- Numbers不进行转换;
- Booleans转换为true/false;
- Date对象转换为’YYYY-mm-dd HH:ii:ss’字符串;
- Buffers转换为hex字符串,如X’0fa5’;
- Strings进行安全转义;
- Arrays转换为列表,如[‘a’, ‘b’]会转换为’a’, ‘b’;
- 多维数组转换为组列表,如[[‘a’, ‘b’], [‘c’, ‘d’]]会转换为’a’, ‘b’), (‘c’, ‘d’);
- Objects会转换为key=value键值对的形式。嵌套的对象转换为字符串;
- undefined/null会转换为NULL;
- MySQL不支持NaN/Infinity,而且会触发MySQL错误。
方法二:使用connection.query()的查询参数占位符:
可以使用 ? 作为查询参数占位符。在使用查询参数占位符时,在其内部自动调用 connection.escape()方法对传入参数进行编码。node
如:mysql
var userId = 1, name = 'test'; var query = connection.query('SELECT * FROM users WHERE id = ?, name = ?', [userId, name], function(err, results) { // ... }); console.log(query.sql); // SELECT * FROM users WHERE id = 1, name = 'test'
上面程序还能够改写成以下:git
var post = {userId: 1, name: 'test'}; var query = connection.query('SELECT * FROM users WHERE ?', post, function(err, results) { // ... }); console.log(query.sql); // SELECT * FROM users WHERE id = 1, name = 'test'
方法三: 使用escapeId()编码SQL查询标识符:
若是你不信任用户传入的SQL标识符(数据库、表、字符名),能够使用escapeId()方法进行编码。最经常使用于排序等。escapeId()有以下三个功能类似的方法:github
mysql.escapeId(identifier) connection.escapeId(identifier) pool.escapeId(identifier)
例如:sql
var sorter = 'date'; var sql = 'SELECT * FROM posts ORDER BY ' + connection.escapeId(sorter); connection.query(sql, function(err, results) { // ... });
方法四: 使用mysql.format()转义参数:
准备查询,该函数会选择合适的转义方法转义参数 mysql.format()用于准备查询语句,该函数会自动的选择合适的方法转义参数。数据库
例如:
var userId = 1; var sql = "SELECT * FROM ?? WHERE ?? = ?"; var inserts = ['users', 'id', userId]; sql = mysql.format(sql, inserts); // SELECT * FROM users WHERE id = 1
参考文章:
1. https://github.com/mysqljs/mysql
2. http://itbilu.com/nodejs/npm/NyPG8LhlW.html
备注:Node.js与MySQL交互操做有不少库,具体能够在 https://www.npmjs.org/search?q=mysql查看。
相关文章
- 1. 防止sql注入
- 2. 防止SQL注入
- 3. SQL 防止注入
- 4. springboot中防止sql注入 & 防止sql攻击
- 5. mybatis 防止sql注入
- 6. Mybatis防止sql注入
- 7. 防止sql注入拦截
- 8. 如何防止sql注入
- 9. PrepareStatement 防止sql注入
- 10. Java防止SQL注入
- 更多相关文章...
- • SQLite 注入 - SQLite教程
- • Spring DI(依赖注入)的实现方式:属性注入和构造注入 - Spring教程
- • YAML 入门教程
- • Spring Cloud 微服务实战(三) - 服务注册与发现
相关标签/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
最新文章
- 1. 安装cuda+cuDNN
- 2. GitHub的使用说明
- 3. phpDocumentor使用教程【安装PHPDocumentor】
- 4. yarn run build报错Component is not found in path “npm/taro-ui/dist/weapp/components/rate/index“
- 5. 精讲Haproxy搭建Web集群
- 6. 安全测试基础之MySQL
- 7. C/C++编程笔记:C语言中的复杂声明分析,用实例带你完全读懂
- 8. Python3教程(1)----搭建Python环境
- 9. 李宏毅机器学习课程笔记2:Classification、Logistic Regression、Brief Introduction of Deep Learning
- 10. 阿里云ECS配置速记
欢迎关注本站公众号,获取更多信息
相关文章
- 1. 防止sql注入
- 2. 防止SQL注入
- 3. SQL 防止注入
- 4. springboot中防止sql注入 & 防止sql攻击
- 5. mybatis 防止sql注入
- 6. Mybatis防止sql注入
- 7. 防止sql注入拦截
- 8. 如何防止sql注入
- 9. PrepareStatement 防止sql注入
- 10. Java防止SQL注入