node-mysql で SQL インジェクションを防ぐ方法
SQL インジェクションは Web サイトやサーバーにとって非常に危険な問題であることは誰もが知っていますが、この側面が適切に処理されないと、いつでも Web サイトにインジェクションが行われる可能性があります。そのため、この記事では、困っている友人ができるよう、node-mysql で SQL を防ぐ方法をまとめます。いくつかの一般的な注入方法を参照してください。 SQL インジェクションとはSQL ステートメントを使用して、アカウントでログインしたり、データベースを改ざんしたりすることもできます。
node-mysql で SQL インジェクションを防ぐ
SQL インジェクションを防ぐために、文字列を直接連結する代わりに、SQL で渡されるパラメーターをエンコードできます。 node-mysql では、SQL インジェクションを防ぐための一般的な方法が 4 つあります:
方法 1:scape() を使用して受信パラメータをエンコードする:
パラメータのエンコード方法は 3 つあります: mysql.escape(param)
connection.escape(param)
pool.escape(param)
例:
escape() メソッドのエンコーディング規則は次のとおりです:数値は変換されません;
日付オブジェクトの変換'YYYY-mm-dd HH:ii:ss' 文字列バッファは X'0fa5' などの 16 進文字列に変換されます
文字列は次のようなリストに変換されます['a', 'b'] は 'a', 'b' に変換されます
多次元配列は [['a', 'b'], ['c' などのグループ リストに変換されます, 'd' ]] は 'a', 'b'), ('c', 'd');
オブジェクトは key=value ペアに変換されます。ネストされたオブジェクトは文字列に変換されます。
未定義/null は NULL に変換されます。
MySQL は NaN/Infinity をサポートしていないため、MySQL エラーが発生します。
クエリ パラメーター プレースホルダーとして ? を使用できます。クエリ パラメーター プレースホルダーを使用する場合、 connection.escape() メソッドが内部で自動的に呼び出され、受信パラメーターをエンコードします。
var userId = 1, name = 'test';
var query = connection.query('SELECT * FROM users WHERE id = ' + connection.escape(userId) + ', name = ' + connection.escape(name), function(err, results) {
// ...
});
console.log(query.sql); // SELECT * FROM users WHERE id = 1, name = 'test'var userId = 1, name = 'test';
var query = connection.query('SELECT * FROM users WHERE id = ?, name = ?', [userId, name], function(err, results) {
// ...
});
console.log(query.sql); // SELECT * FROM users WHERE id = 1, name = 'test'方法 3:scapeId() を使用して SQL クエリ識別子をエンコードします:
connection.escape() 方法对传入参数进行编码。
如:
var post = {userId: 1, name: 'test'};
var query = connection.query('SELECT * FROM users WHERE ?', post, function(err, results) {
// ...
});
console.log(query.sql); // SELECT * FROM users WHERE id = 1, name = 'test'上面程序还可以改写成如下:
mysql.escapeId(identifier) connection.escapeId(identifier) pool.escapeId(identifier)
方法三: 使用escapeId()编码SQL查询标识符:
如果你不信任用户传入的SQL标识符(数据库、表、字符名),可以使用escapeId()方法进行编码。最常用于排序等。
escapeId()有如下三个功能相似的方法:
var sorter = 'date';
var sql = 'SELECT * FROM posts ORDER BY ' + connection.escapeId(sorter);
connection.query(sql, function(err, results) {
// ...
});例如:
var userId = 1; var sql = "SELECT * FROM ?? WHERE ?? = ?"; var inserts = ['users', 'id', userId]; sql = mysql.format(sql, inserts); // SELECT * FROM users WHERE id = 1
方法四: 使用mysql.format()转义参数:
准备查询,该函数会选择合适的转义方法转义参数 mysql.format()
escapeId() には、同様の機能を持つ次の 3 つのメソッドがあります:
rrreee
例: 方法 4: mysql.format() を使用して、エスケープパラメータ:
クエリを準備します。この関数は、適切なエスケープメソッドを選択します。エスケープパラメータ mysql.format() は、クエリステートメントを準備するために使用されます。エスケープメソッドのパラメータ。 例:
rrreee
上記がこの記事の全内容です。その他の関連コンテンツについては、PHP 中国語 Web サイトをご覧ください。
関連する推奨事項: 🎜🎜🎜node.js の fs.stat と fs.fstat の違いについて🎜🎜🎜🎜NodeJs フォームデータ形式でファイルを転送する方法🎜🎜🎜🎜🎜Nodejs サーバー側の文字エンコーディングとデコード・文字化け処理中🎜🎜🎜🎜🎜🎜🎜🎜🎜以上がnode-mysql で SQL インジェクションを防ぐ方法の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。
ホットAIツール
Undresser.AI Undress
リアルなヌード写真を作成する AI 搭載アプリ
AI Clothes Remover
写真から衣服を削除するオンライン AI ツール。
Undress AI Tool
脱衣画像を無料で
Clothoff.io
AI衣類リムーバー
AI Hentai Generator
AIヘンタイを無料で生成します。
人気の記事
ホットツール
メモ帳++7.3.1
使いやすく無料のコードエディター
SublimeText3 中国語版
中国語版、とても使いやすい
ゼンドスタジオ 13.0.1
強力な PHP 統合開発環境
ドリームウィーバー CS6
ビジュアル Web 開発ツール
SublimeText3 Mac版
神レベルのコード編集ソフト(SublimeText3)
ホットトピック
7461
15
1376
52
77
11
17
17
Nodejs はバックエンド フレームワークですか?
Apr 21, 2024 am 05:09 AM
Node.js は、高いパフォーマンス、スケーラビリティ、クロスプラットフォーム サポート、豊富なエコシステム、開発の容易さなどの機能を備えているため、バックエンド フレームワークとして使用できます。
Nodejsをmysqlデータベースに接続する方法
Apr 21, 2024 am 06:13 AM
MySQL データベースに接続するには、次の手順に従う必要があります。 mysql2 ドライバーをインストールします。 mysql2.createConnection() を使用して、ホスト アドレス、ポート、ユーザー名、パスワード、データベース名を含む接続オブジェクトを作成します。 connection.query() を使用してクエリを実行します。最後に connection.end() を使用して接続を終了します。
Nodejsのグローバル変数とは何ですか
Apr 21, 2024 am 04:54 AM
Node.js には次のグローバル変数が存在します。 グローバル オブジェクト: グローバル コア モジュール: プロセス、コンソール、require ランタイム環境変数: __dirname、__filename、__line、__column 定数: unknown、null、NaN、Infinity、-Infinity
NodejsとJavaの間に大きな違いはありますか?
Apr 21, 2024 am 06:12 AM
Node.js と Java の主な違いは、設計と機能です。 イベント駆動型とスレッド駆動型: Node.js はイベント駆動型で、Java はスレッド駆動型です。シングルスレッドとマルチスレッド: Node.js はシングルスレッドのイベント ループを使用し、Java はマルチスレッド アーキテクチャを使用します。ランタイム環境: Node.js は V8 JavaScript エンジン上で実行され、Java は JVM 上で実行されます。構文: Node.js は JavaScript 構文を使用し、Java は Java 構文を使用します。目的: Node.js は I/O 集中型のタスクに適しており、Java は大規模なエンタープライズ アプリケーションに適しています。
Nodejs インストール ディレクトリ内の npm ファイルと npm.cmd ファイルの違いは何ですか?
Apr 21, 2024 am 05:18 AM
Node.js インストール ディレクトリには、npm と npm.cmd という 2 つの npm 関連ファイルがあります。違いは次のとおりです。拡張子が異なります。npm は実行可能ファイルで、npm.cmd はコマンド ウィンドウのショートカットです。 Windows ユーザー: npm.cmd はコマンド プロンプトから使用できますが、npm はコマンド ラインからのみ実行できます。互換性: npm.cmd は Windows システムに固有ですが、npm はクロスプラットフォームで使用できます。使用上の推奨事項: Windows ユーザーは npm.cmd を使用し、他のオペレーティング システムは npm を使用します。
Nodejs はバックエンド開発言語ですか?
Apr 21, 2024 am 05:09 AM
はい、Node.js はバックエンド開発言語です。これは、サーバー側のビジネス ロジックの処理、データベース接続の管理、API の提供などのバックエンド開発に使用されます。
NodejsとJavaのどちらを選択しますか?
Apr 21, 2024 am 04:40 AM
Web 開発において Node.js と Java にはそれぞれ長所と短所があり、どちらを選択するかはプロジェクトの要件によって異なります。 Node.js はリアルタイム アプリケーション、迅速な開発、マイクロサービス アーキテクチャに優れており、Java はエンタープライズ グレードのサポート、パフォーマンス、セキュリティに優れています。
Nodejsプロジェクトをサーバーにデプロイする方法
Apr 21, 2024 am 04:40 AM
Node.js プロジェクトのサーバー デプロイメント手順: デプロイメント環境を準備します。サーバー アクセスの取得、Node.js のインストール、Git リポジトリのセットアップ。アプリケーションをビルドする: npm run build を使用して、デプロイ可能なコードと依存関係を生成します。コードをサーバーにアップロードします: Git またはファイル転送プロトコル経由。依存関係をインストールする: サーバーに SSH で接続し、npm install を使用してアプリケーションの依存関係をインストールします。アプリケーションを開始します。node Index.js などのコマンドを使用してアプリケーションを開始するか、pm2 などのプロセス マネージャーを使用します。リバース プロキシの構成 (オプション): Nginx や Apache などのリバース プロキシを使用して、トラフィックをアプリケーションにルーティングします。
