我不知道邮政功能为何存在问题。它返回 “无法获取/ api / signup / email / password / nick”。
但是Get功能正常工作
我在任何地方都找不到任何答案。我对后端开发不熟悉。
var express = require('express');
var app = express();
var mysql = require('mysql');
var db = mysql.createConnection({
host: "localhost",
user: "root",
database : "flatduties",
password: ""
});
db.connect(function(err) {
if (err) throw err;
console.log("Connected!");
});
///////////// API //////////////
const router = express.Router();
app.use('/api', router);
router.get('/', (request, response) => {
response.json({message: 'api v1 - projekt'});
});
router.post('/signup/:email/:passwrd/:nick', function(req, res, next) {
var mail = req.params.email;
var pass = req.params.passwrd;
var nick = req.params.nick;
db.query("INSERT INTO `user`(`Email`, `Password`, `Nick`) VALUES ('"+mail+"', '"+pass+"', '"+nick+"');", function (error, results,fields) {
if(error){
res.send(JSON.stringify({"status": 500, "error": error, "response": null}));
} else {
res.send(JSON.stringify({"status": 200, "error": null, "response": results}));
}
});
});
router.get('/login/:email/:passwrd', function(req, res, next) {
var email = req.params.email;
var pass = req.params.passwrd;
db.query("SELECT UserID, Email, Password, Nick, GroupID FROM user WHERE Email ='"+email+"' AND Password ='"+pass+"';", function (error, results, fields) {
if(error){
res.send(JSON.stringify({"status": 500, "error": error, "response": null}));
} else {
res.send(JSON.stringify({"status": 200, "error": null, "response": results}));
}
});
});
app.listen(8888);
答案 0 :(得分:1)
@Tadman的警告中的警告是完全正确的。互联网正爬满网络蠕虫,只是希望有人的网站像您一样不安全。如果这个网站可供全世界使用,几乎可以肯定会在一周内被伪装。
在堆栈溢出时,当人们做不安全的事情时,我们会努力推动。我们为什么如此坚持呢?我怎么知道这种事情很危险?这是一个漫长而令人尴尬的故事。
切勿在这样的URL中输入密码
https://pwned.example.com/login/oskar%40example.com/secret
它将登陆您的Web服务器日志。这样,您以及任何看到您的日志的人都将知道您用户的密码。用户真的不喜欢这样。
要处理登录内容,建议您查看node / express的passport扩展名。
要散列密码,请查看bcrypt。
所有所说的话:
您有此代码。
router.post('/signup/:email/:passwrd/:nick', function(req, res, next) { /*unsafe*/
var mail = req.params.email;
var pass = req.params.passwrd;
var nick = req.params.nick;
db.query("INSERT....
您想要的在您的节点/ Express程序中更像这样。您可以从POST操作的正文(有效负载)中获取参数。
const bcrypt = require('bcrypt');
const saltRounds = 10;
...
router.post('/signup', function(req, res, next) {
const mail = req.body.email;
const pass = req.body.passwrd;
const nick = req.body.nick;
/* securely hash the password */
bcrypt.hash(pass, saltRounds, function(err, hash) {
/* store hash, never pass, in your database. */
db.query("INSERT ...
});
...
然后,在您的html中,您需要类似这样的内容(未经调试,而且样式肯定也不好。)
<form method="post" action="https://example.com/signup">
<input type="email" name="email" placeholder="Your email address" />
<input type="password" name="passwrd" />
<input type="text" name="nick" placeholder="Your nickname" />
<input type="submit" name="submit" value="Sign Up Now" />
</form>
当您的用户单击立即注册时,Web浏览器会将表单的正文字段(而不是URL)发布到您的节点/ Express应用程序中。