es6模板文字是否可以防止sql注入?
es6模板文字是否可以防止sql注入?
提问于 2017-05-20 14:00:52
当用于构造查询时,es6模板文字是否可以防止SQL注入?你能提供一些常见攻击的例子以及如何减轻它们吗?
更具体地说,我计划在节点项目中使用mssql模块。在他们的文档中,在模板文字部分,它说“所有的值都会根据SQL注入自动净化”。这完全是因为ES6模板文本是如何工作的吗?
回答 2
Stack Overflow用户
回答已采纳
发布于 2017-05-20 14:21:16
不,ES6模板文本只是构建字符串的另一种方式,如果要使用它们从提供的用户输入构建原始SQL查询而不进行额外的筛选/转义,则不会保护您免受SQL注入的影响:
let name = "Robert'; DROP TABLE Students;--"; // user supplied input
let sql = `SELECT * FROM Students WHERE name = '${name}'`; // build query...
console.log(sql); // Injected SQL!
Stack Overflow用户
发布于 2019-03-04 16:58:03
是的,但前提是你必须使用适当的标签。但是,当您使用标记时,它被称为标记模板文字。标签就在第一个反勾之前。
您可以使用按节点-mssql作为标记或https://github.com/TehShrike/sql-tagged-template-literal
const SQL = require('sql-template-strings');
let name = "Robert'; DROP TABLE Students;--"; // user supplied input
let sql = SQL`SELECT * FROM Students WHERE name = '${name}'`; // build query...
console.log(sql); // Non-injected SQL!
// SELECT * FROM Students WHERE name = 'Robert''; DROP TABLE Students;--'小费!编辑器可以自动语法突出显示模板文本中的SQL。,如果它使用sql标记。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/44086785
复制相关文章
相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号