文章摘要:nodejs如何防止sql注入
nodejs防止sql注入的方法: 1.使用escape()对传入参数进行编码,例如: var userId […]
nodejs防止sql注入的方法:
1.使用escape()对传入参数进行编码,例如:
var userId = 1, name = 'test';
var query = connection.query('SELECT * FROM users WHERE id = ' + connection.escape(userId) + ', name = ' + connection.escape(name), function(err, results) {
// ...
});
console.log(query.sql); // SELECT * FROM users WHERE id = 1, name = 'test'
2.使用connection.query()的查询参数占位符,例如:
var userId = 1, name = 'test';
var query = connection.query('SELECT * FROM users WHERE id = ?, name = ?', [userId, name], function(err, results) {
// ...
});
console.log(query.sql); // SELECT * FROM users WHERE id = 1, name = 'test'
3.使用escapeId()编码SQL查询标识符,例如:
sorter = 'date';
var sql = 'SELECT * FROM posts ORDER BY ' + connection.escapeId(sorter);
connection.query(sql, function(err, results) {
// ...
});
4.使用mysql.format()转义参数,例如:
userId = 1;
var sql = "SELECT * FROM ?? WHERE ?? = ?";
var inserts = ['users', 'id', userId];
sql = mysql.format(sql, inserts); // SELECT * FROM users WHERE id = 1
声明:
若非注明,本站文章源于互联网收集整理和网友分享发布,如有侵权,请联系站长处理。
文章名称:nodejs如何防止sql注入
文章链接:http://www.7966.org/post/16178.html
转载请注明出处
