SQL インジェクションから Node.js アプリを保護する
質問: Node.js は、node- と呼ばれるモジュールを提供します。 MySQL データベースに接続するための mysql。ただし、SQL インジェクションを防ぐための PHP のプリペアド ステートメントと同様の機能は提供されますか?
答え: はい、node-mysql ライブラリは、プレースホルダーや値を使用するときにユーザー入力を自動的にサニタイズします。提供されたコードで実証されています。
追加詳細:
コードは、クロスサイト スクリプティング (XSS) 防止のためにサニタイザー モジュールを利用しています。さらに、node-mysql のパラメータ化されたクエリ構文を使用しており、文字をエスケープするために内部で connection.escape() 関数を呼び出します。
node-mysql ドキュメント (https://github.com) で説明されているとおり/felixge/node-mysql#escaping-query-values)、このアプローチは SQL インジェクションの脆弱性を効果的に防止します。ライブラリは、クエリを実行する前にユーザーが指定したデータを自動的にエスケープします。
推奨事項:
node-mysql はすでに自動エスケープを提供しているため、に切り替える必要はありません。 node-mysql-native、準備済みもサポートします
結論:
node-mysql の自動エスケープ機能を使用すると、Node.js アプリケーションは、PHP のようなプリペアド ステートメントを必要とせずに、SQL インジェクションから効果的に保護できます。 .
以上がnode-mysql は SQL インジェクションに対するプリペアド ステートメントのような保護を提供しますか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。
![[Web フロントエンド] Node.js クイック スタート](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
