如何使用Node.JS阻止SQL注入?
如何使用Node.JS选择一行MS SQL服务器数据库并阻止SQL注入?我使用快速框架和包mssql。
以下是我现在使用的代码的一部分,可以使用ES 6编写SQL注入。
const express = require('express'),
app = express(),
sql = require('mssql'),
config = require('./config');
let connect = (f, next) => {
sql.connect(config.database.connectionstring).then(f).catch((err) => {
next(err);
});
};
app.get('/locations/get/:id', (req, res, next) => {
let f = () => {
new sql.Request().query(`select * from mytable where id = ${req.params.id}`)
.then((recordset) => {
console.dir(recordset);
}).catch((err) => {
next(err);
});
};
connect(f, next);
});
1 个答案:
答案 0 :(得分:3)
使用PreparedStatement。以下是您通过文档https://www.npmjs.com/package/mssql#prepared-statement:
执行此操作的方法var ps = new sql.PreparedStatement(/* [connection] */);
ps.input('id', sql.Int);
ps.prepare('select * from mytable where id = @id', function(err) {
ps.execute({id: req.params.id}, function(err, recordset) {
ps.unprepare(function(err) {
// ... error checks
});
// Handle the recordset
});
});
请记住,每个预准备语句表示池中的一个保留连接。不要忘记准备一份准备好的声明!
您还可以在事务中创建预准备语句(new sql.PreparedStatement(transaction)),但请记住,在调用unppare之前,您无法在事务中执行其他请求。
文档是用ES5编写的,但是我确定你可以将它宣传:)
相关问题
最新问题
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?