sql >> Databáze >  >> RDS >> Mysql

Zabránit vkládání SQL v JavaScript / Node.js

Nejlepší způsob je použít připravené příkazy nebo dotazy (odkaz na dokumentaci k NPM mysql modul:https://github.com/mysqljs/mysql#preparing-queries )

var sql = "SELECT * FROM table WHERE userid = ?";
var inserts = [message.author.id];
sql = mysql.format(sql, inserts);

Pokud připravené příkazy nejsou možností (nemám ponětí, proč by nebylo), chudák způsob, jak zabránit vkládání SQL, je uniknout veškerému vstupu dodanému uživatelem, jak je popsáno zde:https://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheet#MySQL_Escaping



  1. SQL - Vytvořte pohled z více tabulek

  2. SQLite Select

  3. Oracle Apex 5.0 – Zobrazení statického obrazu

  4. Chyba příliš mnoha otevřených souborů na Ubuntu 8.04