SQL 주입을 방지하기 위해 Node.js의 SQL 쿼리에 JavaScript 문자열을 안전하게 삽입하려면 어떻게 해야 합니까?

NodeJS에서 SQL 쿼리용 JavaScript 문자열 보호

SQL 데이터베이스 삽입을 위해 사용자가 제공한 문자열을 NodeJS에 전달할 때 SQL을 방지하는 것이 중요합니다. 주입 취약점. 사용자 이름과 같은 간단한 데이터의 경우 일반적인 텍스트 처리로 충분할 수 있지만 이메일 주소에는 특별한 주의가 필요합니다. 이 기사에서는 JavaScript 문자열의 SQL 친화성을 향상시키는 솔루션을 살펴봅니다.

MySQL의 mysql_real_escape_string() 에뮬레이팅

PHP 함수 mysql_real_escape_string()은 안전한 SQL 삽입을 위해 문자열을 삭제합니다. 그러나 NodeJS는 기본적으로 이에 상응하는 기능을 제공하지 않습니다. 이 문제를 해결하려면 SQL 쿼리에서 문제가 되는 문자를 이스케이프 처리하여 해당 기능을 모방하는 사용자 정의 함수를 구현할 수 있습니다.

다음 코드는 JavaScript용 사용자 정의 mysql_real_escape_string() 함수를 제공합니다.

function mysql_real_escape_string(str) {
    return str.replace(/[\x08\x09\x1a\n\r"'\\%]/g, function(char) {
        switch (char) {
            case "":
                return "\0";
            case "\x08":
                return "\b";
            case "\x09":
                return "\t";
            case "\x1a":
                return "\z";
            case "\n":
                return "\n";
            case "\r":
                return "\r";
            case "\"":
            case "'":
            case "\":
            case "%":
                return "\"+char;
            default:
                return char;
        }
    });
}

이 함수는 지정된 문자를 이스케이프된 문자로 대체하여 SQL 삽입에 안전한 문자열을 렌더링합니다. 탭, 백스페이스 및 '%'를 포함하도록 이스케이프 문자의 범위를 확장하여 LIKE 쿼리와의 호환성을 보장합니다.

문자 집합 인식에 대한 참고 사항

MySQL의 mysql_real_escape_string ()는 문자 집합을 인식하지만 여기에 제공된 사용자 정의 함수는 문자 집합을 고려하지 않습니다. 그러나 넓은 문자 이스케이프 기능을 사용하면 대부분의 시나리오에서 안정적으로 작동합니다.

추가 자료

SQL 주입 방지에 대한 자세한 내용과 토론은 OWASP 웹사이트를 참조하세요. .

위 내용은 SQL 주입을 방지하기 위해 Node.js의 SQL 쿼리에 JavaScript 문자열을 안전하게 삽입하려면 어떻게 해야 합니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!