express.js如何做mysql注入与node-mysql中防止SQL注入方法解析

大家都知道SQL注入对于网站或者服务器来讲都是一个非常危险的问题,如果这一方面没处理好的话网站可能随时给注入了,所以这篇文章就给大家总结了node-mysql中防止SQL注入的几种常用做法,有需要的朋友们可以参考借鉴。

SQL注入简介

SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。

node-mysql中防止SQL注入

为了防止SQL注入,可以将SQL中传入参数进行编码,而不是直接进行字符串拼接。在node-mysql中,防止SQL注入的常用方法有以下四种:

方法一:使用escape()对传入参数进行编码:

参数编码方法有如下三个:

mysql.escape(param)
connection.escape(param)
pool.escape(param)

例如:

var userId = 1, name = 'test';
var query = connection.query('SELECT * FROM users WHERE id = ' + connection.escape(userId) + ', name = ' + connection.escape(name), function(err, results) {
// ...
});
console.log(query.sql); // SELECT * FROM users WHERE id = 1, name = 'test'

escape()方法编码规则如下:

Numbers不进行转换;

Booleans转换为true/false;

Date对象转换为'YYYY-mm-dd HH:ii:ss'字符串;

Buffers转换为hex字符串,如X'0fa5';

Strings进行安全转义;

Arrays转换为列表,如[‘a', ‘b']会转换为'a', ‘b';

多维数组转换为组列表,如[[‘a', ‘b'], [‘c', ‘d']]会转换为'a', ‘b'), (‘c', ‘d');

Objects会转换为key=value键值对的形式。嵌套的对象转换为字符串;

undefined/null会转换为NULL;

MySQL不支持NaN/Infinity,并且会触发MySQL错误。

方法二:使用connection.query()的查询参数占位符:

可使用 ? 做为查询参数占位符。在使用查询参数占位符时,在其内部自动调用connection.escape()方法对传入参数进行编码。

如:

var userId = 1, name = 'test';
var query = connection.query('SELECT * FROM users WHERE id = ?, name = ?', [userId, name], function(err, results) {
// ...
});
console.log(query.sql); // SELECT * FROM users WHERE id = 1, name = 'test'

上面程序还可以改写成如下:

var post = {userId: 1, name: 'test'};
var query = connection.query('SELECT * FROM users WHERE ?', post, function(err, results) {
// ...
});
console.log(query.sql); // SELECT * FROM users WHERE id = 1, name = 'test'

方法三: 使用escapeId()编码SQL查询标识符:

如果你不信任用户传入的SQL标识符(数据库、表、字符名),可以使用escapeId()方法进行编码。最常用于排序等。

escapeId()有如下三个功能相似的方法:

mysql.escapeId(identifier)
connection.escapeId(identifier)
pool.escapeId(identifier)

例如:

var sorter = 'date';
var sql = 'SELECT * FROM posts ORDER BY ' + connection.escapeId(sorter);
connection.query(sql, function(err, results) {
// ...
});

方法四: 使用mysql.format()转义参数:

准备查询,该函数会选择合适的转义方法转义参数  mysql.format()用于准备查询语句,该函数会自动的选择合适的方法转义参数。

例如:

var userId = 1;
var sql = "SELECT * FROM ?? WHERE ?? = ?";
var inserts = ['users', 'id', userId];
sql = mysql.format(sql, inserts); // SELECT * FROM users WHERE id = 1

总结对比一下,个人比较喜欢实用方法二中的查询参数占位符方法,使用起来比较简单方便,避免了一堆转义相关的操作。对比来说,如果直接使用SQL语句,则在变量拼接的过程中往往会出现一些转义的问题而导致报错,使用查询参数占位符则不会出现这类问题。

(0)

相关推荐

  • 用node和express连接mysql实现登录注册的实现代码

    为了数据库课设,打算后台用node搭建,前台用vue搞个博客出来(因为前段时间在学啊).本来node不想用框架,喜欢先打好基础的,奈何3个星期要把他做完和应付各种考试,所以最后还是用了express,大大简化我的学习成本. 数据库我选了比较"正式"的MySQL,代码方面这个比MongoDB复杂一些.而且这是数据库课设,如果用mongodb老师肯定让我挂了,因为没有涉及到设置主键.外键等. 先在主入口js引入登录注册业务js和发起一个监听端口 var express = require(

  • Node.js+Express+Mysql 实现增删改查

    这次选用nodejs+express+mysql 使用http作为客户端,express框架搭建服务端,从而实现数据的增删改查.这篇文章可以算作上篇文章的升级篇,加入了和数据库的交互. 安装 node 直接去官网下载选择下载即可https://nodejs.org/en/download/current/ cnpm install express //express框架安装 cnpm install mysql //mysql驱动安装 brew install mysql //数据库的安装,根据

  • node基于express框架操作Mysql数据库的步骤

    node基于express框架操作Mysql数据库的步骤

    目录 一.在express项目中操作数据库的步骤 1.安装mysql模块 2.配置mysql模块 3.测试mysql模块能否正常工作 4.查询数据库数据 5.向数据库插入数据 6.更新数据库数据 7.更新数据库数据 8.删除数据库信息的标记删除 一.在express项目中操作数据库的步骤 ①安装操作 MySQL 数据库的第三方模块(mysql) ②通过mysql模块连接到MySQL 数据库 ③通过 mysql模块执行SQL语句 1.安装mysql模块 mysql模块是托管于npm 上的第三方模块

  • node+express框架中连接使用mysql(经验总结)

    node+express框架中连接使用mysql(经验总结)

    最近在学习node.js,做了一个练手项目,使用node.js+express框架,配合mysql数据库和前端vue框架开发一个多人文档编辑系统. node.js环境下express+mysql的服务端项目示例 首先是环境搭建: node环境下 $ npm install -g express-generator $ express -e project 进入项目文件根目录安装依赖模块 $ npm install $ DEBUG=node-blog:* npm start 看看项目目录都有什么

  • 初识NodeJS服务端开发入门(Express+MySQL)

    初识NodeJS服务端开发入门(Express+MySQL)

    NodeJS对前端来说无疑具有里程碑意义,在其越来越流行的今天,掌握NodeJS已经不再是加分项,而是前端攻城师们必须要掌握的技能.本文将与同志们一起完成一个基于Express+MySQL的入门级服务端应用,即可以对数据库中的一张表进行简单的CRUD操作.但本人还是斗胆认为,通过这个应用,可以让没怎么接触后端开发的同志对使用Node进行后端开发有一个大致了解. Express工程环境准备 1. 安装express,和express项目种子生成器(什么?你问第1步为什么不是安装NodeJS,我也只

  • Express连接MySQL及数据库连接池技术实例

    Express连接MySQL及数据库连接池技术实例

    目录 Express连接MySQL 准备工作 创建配置文件 创建操作数据库的接口文件 数据库连接池技术 什么是数据库连接池 数据库连接池的作用是什么? 数据库连接池技术实例 1.导入mysql模块 2.创建数据库连接池 3.获取数据库链接对象 4.释放数据库连接对象 完整实例 Express连接MySQL 准备工作 打开webstorm新建项目选择express创建一个express项目. 创建成功后其页面如下: 为了连接mysql数据库还需要导入mysql模块. 创建配置文件 在项目中创建co

  • 浅析node连接数据库(express+mysql)

    操作是在ubuntu系统的下环境,简单记录一下过程. 首先用apt-get安装数据库,键入命令 sudo apt-get install mysql-server , 一路回车,然后在一个界面设置一下数据库root的密码就好了 在数据库里面我们需要创建一些东西.键入 mysql -uroot -p××××× 来进入sql控制台. 1.先创建数据集 create database databasename : 2.use database databasename : 3.建表(这里创建一个很简单

  • Node.js+Express+Vue+MySQL+axios的项目搭建全过程

    目录 1 基本搭建 1.1 vue脚手架安装 1.2 在创建好的项目中创建server文件夹 1.3 编写前端界面 1.4 启动服务测试 2 axios的使用 axios安装和使用 配置proxy进行跨域请求 proxy写多个代理 总结 1 基本搭建 创建vue项目之前需要先安装Node.js和MySQL数据库 1.1 vue脚手架安装 npm i vue -g npm i @vue/cli -g //初始化vue项目 vue create 项目名 1.2 在创建好的项目中创建server文件夹

  • node-mysql中防止SQL注入的方法总结

    SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库. node-mysql中防止SQL注入 为了防止SQL注入,可以将SQL中传入参数进行编码,而不是直接进行字符串拼接.在node-mysql中,防止SQL注入的常用方法有以下四种: 方法一:使用escape()对传入参数进行编码: 参数编码方法有如下三个: mysql.escape(param) connection.escap

  • 防止web项目中的SQL注入

    目录 一.SQL注入简介 二.SQL注入攻击的总体思路 三.SQL注入攻击实例 四.如何防御SQL注入 1.检查变量数据类型和格式 2.过滤特殊符号 3.绑定变量,使用预编译语句 小结: 一.SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编写时的疏忽,通过SQL语句,实现无账号登录,甚至篡改数据库. 二.SQL注入攻击的总体思路 1.寻找到SQL注入的位置 2.判断服务器类型和后台数据库类型 3.针对不同的服务器和数据库特点进行SQL

  • 一文搞懂Java JDBC中的SQL注入问题

    目录 SQL注入 什么是SQL注入 SQL注入的效果的演示 SQL注入代码 SQL注入效果 如何避免SQL注入 PrepareStatement解决SQL注入 PreparedStatement的应用 参数标记 动态参数绑定 综合案例 PreparedStatement总结 必须使用Statement的情况 SQL注入 什么是SQL注入 在用户输入的数据中有SQL关键字或语法,并且关键字或语法参与了SQL语句的编译.导致SQL语句编译后的条件为true,一直得到正确的结果.这种现象就是SQL注入

  • js获取页面引用的css样式表中的属性值方法(推荐)

    如下所示: function getStyle(node, property){ if (node.style[property]) { return node.style[property]; } else if (node.currentStyle) { return node.currentStyle[property]; } else if (document.defaultView && document.defaultView.getComputedStyle) { var s

  • MyBatis中防止SQL注入讲解

    SQL注入是一种代码注入技术,用于攻击数据驱动的应用,恶意的SQL语句被插入到执行的实体字段中(例如,为了转储数据库内容给攻击者). SQL注入,大家都不陌生,是一种常见的攻击方式.攻击者在界面的表单信息或URL上输入一些奇怪的SQL片段(例如"or '1'='1'"这样的语句),有可能入侵参数检验不足的应用程序.所以,在我们的应用中需要做一些工作,来防备这样的攻击方式.在一些安全性要求很高的应用中(比如银行软件),经常使用将SQL语句全部替换为存储过程这样的方式,来防止SQL注入.这

  • 图文详解HTTP头中的SQL注入

    图文详解HTTP头中的SQL注入

    目录 1.HTTP头中的注入介绍 2.HTTP User-Agent注入 3.HTTP Referer注入 4.sqlmap安全测试 5.HTTP头部详解 总结 HTTP头中的SQL注入 1.HTTP头中的注入介绍 在安全意识越来越重视的情况下,很多网站都在防止漏洞的发生.例如SQL注入中,用户提交的参数都会被代码中的某些措施进行过滤. 过滤掉用户直接提交的参数,但是对于HTTP头中提交的内容很有可能就没有进行过滤. 例如HTTP头中的User-Agent.Referer.Cookies等. 2

  • Mybatis常用注解中的SQL注入实例详解

    目录 前言 常见注入场景 2.1普通注解 2.2 动态sql 2.2.1 使用< script> 2.2.2 使用Provider注解 总结 前言 MyBatis3提供了新的基于注解的配置.主要在MapperAnnotationBuilder中,定义了相关的注解: public MapperAnnotationBuilder(Configuration configuration, Class<?> type) { ... sqlAnnotationTypes.add(Select

  • mybatis注解动态sql注入map和list方式(防sql注入攻击)

    目录 网上的教程 我的教程(防sql注入攻击) 注入Map 注入List 封装foreach mybatis防止sql注入的循环map写法 网上的教程 配置xml 注解中写xml脚本@Select() 使用Java类中的Java方法拼写sql语句(不防sql注入攻击的纯字符串拼接) 我的教程(防sql注入攻击) 注入Map Mapper层代码 @Repository public interface ManageMapper { @SelectProvider(type = ManageProv

  • PHP中防止SQL注入实现代码

    一. 注入式攻击的类型 可能存在许多不同类型的攻击动机,但是乍看上去,似乎存在更多的类型.这是非常真实的-如果恶意用户发现了一个能够执行多个查询的办法的话.本文后面,我们会对此作详细讨论. 如 果你的脚本正在执行一个SELECT指令,那么,攻击者可以强迫显示一个表格中的每一行记录-通过把一个例如"1=1"这样的条件注入到WHERE子句中,如下所示(其中,注入部分以粗体显示): SELECT * FROM wines WHERE variety = 'lagrein' OR 1=1;'

  • php中防止SQL注入的最佳解决方法

    如果用户输入的是直接插入到一个SQL语句中的查询,应用程序会很容易受到SQL注入,例如下面的例子: 复制代码 代码如下: $unsafe_variable = $_POST['user_input'];mysql_query("INSERT INTO table (column) VALUES ('" . $unsafe_variable . "')"); 这是因为用户可以输入类似VALUE"); DROP TABLE表; - ,使查询变成: 复制代码 代

随机推荐