nodejs中如何防mySQL注入

Question

nodejs中如何防mySQL注入

元气の少女

685915

发布于
2016-11-26

如题，如能有具体示例或demo链接感激不尽

node.js

mysql 安全性测试

阅读 9.1k

1 个回答

✓ 已被采纳

使用escape()对传入参数进行编码

var userId = 1, name = 'test';
var query = connection.query('SELECT * FROM users WHERE id = ' + connection.escape(userId) + ', name = ' + connection.escape(name), function(err, results) {
    // ...
});
console.log(query.sql); // SELECT * FROM users WHERE id = 1, name = 'test'

使用connection.query()的查询参数占位符

var userId = 1, name = 'test';
var query = connection.query('SELECT * FROM users WHERE id = ?, name = ?', [userId, name], function(err, results) {
    // ...
});
console.log(query.sql); // SELECT * FROM users WHERE id = 1, name = 'test'

使用escapeId()编码SQL查询标识符

var sorter = 'date';
var sql    = 'SELECT * FROM posts ORDER BY ' + connection.escapeId(sorter);
connection.query(sql, function(err, results) {
  // ...
});

使用mysql.format()转义参数

var userId = 1;
var sql = "SELECT * FROM ?? WHERE ?? = ?";
var inserts = ['users', 'id', userId];
sql = mysql.format(sql, inserts); // SELECT * FROM users WHERE id = 1

Ref: http://www.dengzhr.com/node-j...

PS: Google第一页就是答案

撰写回答

你尚未登录，登录后可以

和开发者交流问题的细节
关注并接收问题和回答的更新提醒
参与内容的编辑和改进，让解决方法与时俱进

推荐问题

nodejs中如何防mySQL注入

使用escape()对传入参数进行编码

使用connection.query()的查询参数占位符

使用escapeId()编码SQL查询标识符

使用mysql.format()转义参数

你尚未登录，登录后可以

这样多条MYSQL语句能不能一句SQL搞定？

云服务器如何安装nodejs？

如何通过 explain 判断使用二级索引之后，是否还存在回表操作？

yarn install报依赖版本错误怎么解决呢？

关于mysql事务的疑问，rollback是否有必要？

k8s部署mysql5.7报错CrashLoopBackOff？

这些字存在mysql5.7的版本中。编码是：utf8mb4 发现显示不出来。都是显示一个：𰕖字符？

nodejs中如何防mySQL注入

使用escape()对传入参数进行编码

使用connection.query()的查询参数占位符

使用escapeId()编码SQL查询标识符

使用mysql.format()转义参数

你尚未登录，登录后可以

这样多条MYSQL语句能不能一句SQL搞定？

云服务器如何安装nodejs？

如何通过 explain 判断使用二级索引之后，是否还存在回表操作？

yarn install报依赖版本错误怎么解决呢？

关于mysql事务的疑问，rollback是否有必要？

k8s部署mysql5.7报错CrashLoopBackOff？

这些字存在mysql5.7的版本中。编码是：utf8mb4 发现显示不出来。都是显示一个：𰕖 字符？

这些字存在mysql5.7的版本中。编码是：utf8mb4 发现显示不出来。都是显示一个：𰕖字符？