由于node.js基于javascript,并且由于javascript是高度动态的语言,这是不是意味着服务器端的代码注入比java或asp.net更危险?
答案 0 :(得分:2)
任何允许您轻松将字符串评估为一行代码的语言都存在固有的安全风险。在这方面,NodeJS并不比用Javascript或PHP编写的任何东西差。
即使您使用Java编写代码,或者ASP,一个天真的Web程序员可能仍然会遭受SQL注入攻击,如果他们不小心并且代码注入只是应用程序可能被泄露的一种方式。
关键是要仔细过滤用户的任何输入,并在使用eval或编写自修改代码之前仔细考虑。
答案 1 :(得分:0)
无论选择何种技术,您都需要验证服务器端代码中的用户输入。
对于node.js,有一些库可以帮助您执行此操作,例如 node-validator https://github.com/chriso/node-validator