node-mysql中防止SQL注入的方法-js教程-PHP中文网

首页

web前端

js教程

node-mysql中防止SQL注入的方法

不言

Jun 30, 2018 am 11:38 AM

nodenodejs防止sql注入

大家都知道SQL注入对于网站或者服务器来讲都是一个非常危险的问题，如果这一方面没处理好的话网站可能随时给注入了，所以这篇文章就给大家总结了node-mysql中防止SQL注入的几种常用做法，有需要的朋友们可以参考借鉴。

SQL注入简介

SQL注入是比较常见的网络攻击方式之一，它不是利用操作系统的BUG来实现攻击，而是针对程序员编程时的疏忽，通过SQL语句，实现无帐号登录，甚至篡改数据库。

node-mysql中防止SQL注入

为了防止SQL注入，可以将SQL中传入参数进行编码，而不是直接进行字符串拼接。在node-mysql中，防止SQL注入的常用方法有以下四种：

方法一：使用escape()对传入参数进行编码：

参数编码方法有如下三个：

mysql.escape(param)
connection.escape(param)
pool.escape(param)

例如：

var userId = 1, name = &#39;test&#39;;
var query = connection.query(&#39;SELECT * FROM users WHERE id = &#39; + connection.escape(userId) + &#39;, name = &#39; + connection.escape(name), function(err, results) {
  // ...
});
console.log(query.sql); // SELECT * FROM users WHERE id = 1, name = &#39;test&#39;

escape()方法编码规则如下：

Numbers不进行转换；

Booleans转换为true/false；

Date对象转换为'YYYY-mm-dd HH:ii:ss'字符串；

Buffers转换为hex字符串，如X'0fa5'；

Strings进行安全转义；

Arrays转换为列表，如[‘a', ‘b']会转换为'a', ‘b'；

多维数组转换为组列表，如[[‘a', ‘b'], [‘c', ‘d']]会转换为'a', ‘b'), (‘c', ‘d')；

Objects会转换为key=value键值对的形式。嵌套的对象转换为字符串；

undefined/null会转换为NULL；

MySQL不支持NaN/Infinity，并且会触发MySQL错误。

方法二：使用connection.query()的查询参数占位符：

可使用 ? 做为查询参数占位符。在使用查询参数占位符时，在其内部自动调用 connection.escape() 方法对传入参数进行编码。

如：

var userId = 1, name = &#39;test&#39;;
var query = connection.query(&#39;SELECT * FROM users WHERE id = ?, name = ?&#39;, [userId, name], function(err, results) {
  // ...
});
console.log(query.sql); // SELECT * FROM users WHERE id = 1, name = &#39;test&#39;

上面程序还可以改写成如下：

var post = {userId: 1, name: &#39;test&#39;};
var query = connection.query(&#39;SELECT * FROM users WHERE ?&#39;, post, function(err, results) {
  // ...
});
console.log(query.sql); // SELECT * FROM users WHERE id = 1, name = &#39;test&#39;

方法三：使用escapeId()编码SQL查询标识符：

如果你不信任用户传入的SQL标识符（数据库、表、字符名），可以使用escapeId()方法进行编码。最常用于排序等。

escapeId()有如下三个功能相似的方法：

mysql.escapeId(identifier)
connection.escapeId(identifier)
pool.escapeId(identifier)

例如：

var sorter = &#39;date&#39;;
var sql  = &#39;SELECT * FROM posts ORDER BY &#39; + connection.escapeId(sorter);
connection.query(sql, function(err, results) {
 // ...
});

方法四：使用mysql.format()转义参数：

准备查询，该函数会选择合适的转义方法转义参数　　 mysql.format()用于准备查询语句，该函数会自动的选择合适的方法转义参数。

例如：

var userId = 1;
var sql = "SELECT * FROM ?? WHERE ?? = ?";
var inserts = [&#39;users&#39;, &#39;id&#39;, userId];
sql = mysql.format(sql, inserts); // SELECT * FROM users WHERE id = 1

以上就是本文的全部内容，希望对大家的学习有所帮助，更多相关内容请关注PHP中文网！

相关推荐：

关于node.js中fs.stat与fs.fstat的区别

NodeJs form-data格式传输文件的方法

关于Nodejs服务端字符编解码和乱码的处理

以上是node-mysql中防止SQL注入的方法的详细内容。更多信息请关注PHP中文网其他相关文章！

声明

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系admin@php.cn

Python和JavaScript的未来：趋势和预测Apr 27, 2025 am 12:21 AM

Python和JavaScript的未来趋势包括：1.Python将巩固在科学计算和AI领域的地位，2.JavaScript将推动Web技术发展，3.跨平台开发将成为热门，4.性能优化将是重点。两者都将继续在各自领域扩展应用场景，并在性能上有更多突破。

Python vs. JavaScript：开发环境和工具Apr 26, 2025 am 12:09 AM

Python和JavaScript在开发环境上的选择都很重要。1)Python的开发环境包括PyCharm、JupyterNotebook和Anaconda，适合数据科学和快速原型开发。2)JavaScript的开发环境包括Node.js、VSCode和Webpack，适用于前端和后端开发。根据项目需求选择合适的工具可以提高开发效率和项目成功率。

JavaScript是用C编写的吗？检查证据Apr 25, 2025 am 12:15 AM

是的，JavaScript的引擎核心是用C语言编写的。1）C语言提供了高效性能和底层控制，适合JavaScript引擎的开发。2）以V8引擎为例，其核心用C 编写，结合了C的效率和面向对象特性。3）JavaScript引擎的工作原理包括解析、编译和执行，C语言在这些过程中发挥关键作用。

JavaScript的角色：使网络交互和动态Apr 24, 2025 am 12:12 AM

JavaScript是现代网站的核心，因为它增强了网页的交互性和动态性。1)它允许在不刷新页面的情况下改变内容，2)通过DOMAPI操作网页，3)支持复杂的交互效果如动画和拖放，4)优化性能和最佳实践提高用户体验。

C和JavaScript：连接解释Apr 23, 2025 am 12:07 AM

C 和JavaScript通过WebAssembly实现互操作性。1）C 代码编译成WebAssembly模块，引入到JavaScript环境中，增强计算能力。2）在游戏开发中，C 处理物理引擎和图形渲染，JavaScript负责游戏逻辑和用户界面。

从网站到应用程序：JavaScript的不同应用Apr 22, 2025 am 12:02 AM

JavaScript在网站、移动应用、桌面应用和服务器端编程中均有广泛应用。1)在网站开发中，JavaScript与HTML、CSS一起操作DOM，实现动态效果，并支持如jQuery、React等框架。2)通过ReactNative和Ionic，JavaScript用于开发跨平台移动应用。3)Electron框架使JavaScript能构建桌面应用。4)Node.js让JavaScript在服务器端运行，支持高并发请求。

Python vs. JavaScript：比较用例和应用程序Apr 21, 2025 am 12:01 AM

Python更适合数据科学和自动化，JavaScript更适合前端和全栈开发。1.Python在数据科学和机器学习中表现出色，使用NumPy、Pandas等库进行数据处理和建模。2.Python在自动化和脚本编写方面简洁高效。3.JavaScript在前端开发中不可或缺，用于构建动态网页和单页面应用。4.JavaScript通过Node.js在后端开发中发挥作用，支持全栈开发。