バックエンドの開発に native NodeJS を直接使用することはありませんが、SQL インジェクション を理解する必要があります。
この記事では、NodeJS MySQL を使用して SQL インジェクションについて説明します。
SQL インジェクション攻撃は非常に古い攻撃手法であり、web2.0 の誕生以来、SQL インジェクション攻撃は存在しています。通常、入力ボックスやテキスト フィールドなどのフロントエンド コンポーネントに表示されます。入力内容に SQL ステートメント を追加し、一緒にバックグラウンドに渡します。 [関連チュートリアルの推奨事項: nodejs ビデオ チュートリアル ]
バックグラウンドが注意しないと、フロントエンドから渡された SQL ステートメント が独自のステートメントに接続されてしまいます。 SQL ステートメント、そして最終的に攻撃コードに接続されます。
したがって、予防策を講じる必要があり、そうしないと、データ漏洩が発生したり、データベースが削除されたりする可能性があります。
SQL インジェクションのデモ
ログインを例として、ユーザー名を保存するために MySQL に users テーブルを追加します。そしてパスワード。
users テーブルで、次のデータを作成しました。 insert into users (username, password, realname) names ('leihou' , '123 ', 'Thunder Monkey');
データの意味:
ユーザー名: 'leihou'-
password: '123' realname: 'Thunder Monkey'
この時点で、NodeJS 背景、ログインメソッドを作成しました
const mysql = require('mysql')
// 创建连接对象
const con = mysql.createConnection({
host: 'localhost', // 地址
user: 'root', // 连接数据库的用户
password: '123456', // 连接数据库的密码
port: '3306', // 默认端口
database: 'testdb' // 数据库名
})
// 开始连接
con.connect()
// 统一执行 sql 的函数
function exec(sql) {
const promise = new Promise((resolve, reject) => {
con.query(sql, (err, result) => {
if (err) {
reject(err)
return
}
resolve(result)
})
})
return promise
}
// 登录方法
const login = (username, password) => {
const sql = `
select username, realname from users where username='${username}' and password='${password}';
`
console.log(sql)
return exec(sql).then(rows => {
return rows[0] || {}
})
}上記がログインメソッドです。
最後に、「NodeJS http リクエスト」 で説明した方法を使用して、フロントエンドへのインターフェイスを作成できます。インターフェースの部分はこの記事の焦点ではないので、ここでは省略します(怠惰にさせてください)。
この時点で、別の HTML ページを作成し、いくつかのコンテンツを大まかに生成してから、Ajax を使用してバックエンドに接続します。
面倒な場合は、postman Test
ログイン方法#に従って確認できます。 ## 、フロントエンドで次の内容を入力すると正常にログインできます
ユーザー名: leihou- パスワード: 123
- ただし、今回入力したユーザー名は
です。-- の前後にスペースがあることに注意してください。そうすれば、パスワードを気軽に入力できます。 最後に結合された
ステートメントは、select username, realname from users where username='leihou' -- '、password='aslkfjsaf';## です。 # 何気なくパスワードを入力したことに注意してください。
の
-- はコメントの意味を表します。したがって、上記のステートメントは ユーザー名が leihou であるデータをクエリします。当然、パスワードはバイパスされます。 上で入力した username の内容はログインを回避し、情報が漏洩します。しかし、誰かがあなたのテーブルを削除しようとした場合、その結果は非常に深刻になります。
たとえば、ユーザー名入力ボックスに「leihou'; ユーザーから削除; -- 」と入力します。
users テーブルは直接削除されました。
予防方法
SQL インジェクション攻撃 10 年以上前のものです。したがって、基本的な対処方法は成熟しています。
たとえば、フロントエンドから渡された文字列をトランスコードします。
の使用 ダウンロードした
MySQL 依存関係パッケージには、メソッド escape が用意されています。 <pre class='brush:php;toolbar:false;'>// 省略部分代码
const mysql = require(&#39;mysql&#39;)
// 省略创建连接对象
// 省略开始连接
// 统一执行 sql 的函数 exec 方法
const escape = mysql.escape
const login = (username, password) => {
username = escape(username)
password = escape(password)
const sql = `
select username, realname from users where username=${username} and password=${password};
`
console.log(sql)
return exec(sql).then(rows => {
return rows[0] || {}
})
}</pre>escape メソッドを使用してフィルタリングされた文字列はエスケープされます。
このとき、ユーザー名に leihou' -- と入力すると、バックエンド コンソールに次の内容が出力されます。
select username, realname from users where username='leihou\' -- ' and password='123345';
が表示されます。 leihou' に続く一重引用符はエスケープされます。
上記は、SQL インジェクション攻撃を防ぐための
メソッドです。 ノード関連の知識の詳細については、nodejs チュートリアル を参照してください。
以上がNode+mysqlのSQLインジェクションを解説した記事の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。
ブラウザを超えて:現実世界のJavaScriptApr 12, 2025 am 12:06 AM現実世界におけるJavaScriptのアプリケーションには、サーバー側のプログラミング、モバイルアプリケーション開発、モノのインターネット制御が含まれます。 2。モバイルアプリケーションの開発は、ReactNativeを通じて実行され、クロスプラットフォームの展開をサポートします。 3.ハードウェアの相互作用に適したJohnny-Fiveライブラリを介したIoTデバイス制御に使用されます。
next.jsを使用してマルチテナントSaaSアプリケーションを構築する(バックエンド統合)Apr 11, 2025 am 08:23 AM私はあなたの日常的な技術ツールを使用して機能的なマルチテナントSaaSアプリケーション(EDTECHアプリ)を作成しましたが、あなたは同じことをすることができます。 まず、マルチテナントSaaSアプリケーションとは何ですか? マルチテナントSaaSアプリケーションを使用すると、Singの複数の顧客にサービスを提供できます
next.jsを使用してマルチテナントSaaSアプリケーションを構築する方法(フロントエンド統合)Apr 11, 2025 am 08:22 AMこの記事では、許可によって保護されたバックエンドとのフロントエンド統合を示し、next.jsを使用して機能的なedtech SaaSアプリケーションを構築します。 FrontEndはユーザーのアクセス許可を取得してUIの可視性を制御し、APIリクエストがロールベースに付着することを保証します
JavaScript:Web言語の汎用性の調査Apr 11, 2025 am 12:01 AMJavaScriptは、現代のWeb開発のコア言語であり、その多様性と柔軟性に広く使用されています。 1)フロントエンド開発:DOM操作と最新のフレームワーク(React、Vue.JS、Angularなど)を通じて、動的なWebページとシングルページアプリケーションを構築します。 2)サーバー側の開発:node.jsは、非ブロッキングI/Oモデルを使用して、高い並行性とリアルタイムアプリケーションを処理します。 3)モバイルおよびデスクトップアプリケーション開発:クロスプラットフォーム開発は、反応および電子を通じて実現され、開発効率を向上させます。
JavaScriptの進化:現在の傾向と将来の見通しApr 10, 2025 am 09:33 AMJavaScriptの最新トレンドには、TypeScriptの台頭、最新のフレームワークとライブラリの人気、WebAssemblyの適用が含まれます。将来の見通しは、より強力なタイプシステム、サーバー側のJavaScriptの開発、人工知能と機械学習の拡大、およびIoTおよびEDGEコンピューティングの可能性をカバーしています。
javascriptの分解:それが何をするのか、なぜそれが重要なのかApr 09, 2025 am 12:07 AMJavaScriptは現代のWeb開発の基礎であり、その主な機能には、イベント駆動型のプログラミング、動的コンテンツ生成、非同期プログラミングが含まれます。 1)イベント駆動型プログラミングにより、Webページはユーザー操作に応じて動的に変更できます。 2)動的コンテンツ生成により、条件に応じてページコンテンツを調整できます。 3)非同期プログラミングにより、ユーザーインターフェイスがブロックされないようにします。 JavaScriptは、Webインタラクション、シングルページアプリケーション、サーバー側の開発で広く使用されており、ユーザーエクスペリエンスとクロスプラットフォーム開発の柔軟性を大幅に改善しています。
pythonまたはjavascriptの方がいいですか?Apr 06, 2025 am 12:14 AMPythonはデータサイエンスや機械学習により適していますが、JavaScriptはフロントエンドとフルスタックの開発により適しています。 1. Pythonは、簡潔な構文とリッチライブラリエコシステムで知られており、データ分析とWeb開発に適しています。 2。JavaScriptは、フロントエンド開発の中核です。 node.jsはサーバー側のプログラミングをサポートしており、フルスタック開発に適しています。
JavaScriptをインストールするにはどうすればよいですか?Apr 05, 2025 am 12:16 AMJavaScriptは、最新のブラウザにすでに組み込まれているため、インストールを必要としません。開始するには、テキストエディターとブラウザのみが必要です。 1)ブラウザ環境では、タグを介してHTMLファイルを埋め込んで実行します。 2)node.js環境では、node.jsをダウンロードしてインストールした後、コマンドラインを介してJavaScriptファイルを実行します。
ホットAIツール
Undresser.AI Undress
リアルなヌード写真を作成する AI 搭載アプリ
AI Clothes Remover
写真から衣服を削除するオンライン AI ツール。
Undress AI Tool
脱衣画像を無料で
Clothoff.io
AI衣類リムーバー
AI Hentai Generator
AIヘンタイを無料で生成します。
人気の記事
ホットツール
EditPlus 中国語クラック版
サイズが小さく、構文の強調表示、コード プロンプト機能はサポートされていません
メモ帳++7.3.1
使いやすく無料のコードエディター
SecLists
SecLists は、セキュリティ テスターの究極の相棒です。これは、セキュリティ評価中に頻繁に使用されるさまざまな種類のリストを 1 か所にまとめたものです。 SecLists は、セキュリティ テスターが必要とする可能性のあるすべてのリストを便利に提供することで、セキュリティ テストをより効率的かつ生産的にするのに役立ちます。リストの種類には、ユーザー名、パスワード、URL、ファジング ペイロード、機密データ パターン、Web シェルなどが含まれます。テスターはこのリポジトリを新しいテスト マシンにプルするだけで、必要なあらゆる種類のリストにアクセスできるようになります。
MinGW - Minimalist GNU for Windows
このプロジェクトは osdn.net/projects/mingw に移行中です。引き続きそこでフォローしていただけます。 MinGW: GNU Compiler Collection (GCC) のネイティブ Windows ポートであり、ネイティブ Windows アプリケーションを構築するための自由に配布可能なインポート ライブラリとヘッダー ファイルであり、C99 機能をサポートする MSVC ランタイムの拡張機能が含まれています。すべての MinGW ソフトウェアは 64 ビット Windows プラットフォームで実行できます。
ZendStudio 13.5.1 Mac
強力な PHP 統合開発環境
