es6模板文字是否可以防止sql注入?

时间:2017-05-20 14:00:52

标签: javascript sql node.js ecmascript-6 sql-injection

当es6模板文字用于构造查询时,是否可以防止SQL注入?您能否提供一些常见攻击的例子以及如何减轻这些攻击?

更具体地说,我计划在节点项目中使用mssql模块。在模板文字部分下的文档中,它说“所有值都会针对SQL注入自动清理”。这纯粹是因为ES6模板文字的工作原理吗?

2 个答案:

答案 0 :(得分:7)

不,ES6模板文字只是构建字符串的另一种方法,如果您使用它们从提供的用户输入构建原始SQL查询而不需要额外的过滤/转义,则不会保护您免受SQL注入:

let name = "Robert'; DROP TABLE Students;--"; // user supplied input

let sql = `SELECT * FROM Students WHERE name = '${name}'`; // build query...

console.log(sql); // Injected SQL!

答案 1 :(得分:0)

是的,但仅当您使用适当的标签时。使用标记时,它称为标记模板文字。该标记正好在第一个反引号之前。

您可以使用sql.query by node-mssql作为标签或https://github.com/TehShrike/sql-tagged-template-literal 

const SQL = require('sql-template-strings');
let name = "Robert'; DROP TABLE Students;--"; // user supplied input

let sql = SQL`SELECT * FROM Students WHERE name = '${name}'`; // build query...

console.log(sql); // Non-injected SQL!

// SELECT * FROM Students WHERE name = 'Robert''; DROP TABLE Students;--'

提示!如果编辑器使用sql标签,则编辑器可以自动将其语法highlight the SQL inside the template literal

相关问题
最新问题