安全的 Javascript/Sql 连接

Question

我正在尝试使用 HTML/CSS 和 Javascript 创建一个简单的网站。基本上，用户应该能够在文本字段中输入数字并使用按钮“发送”。当按钮被按下时，我想运行一个 Javascript 函数来搜索 sql 数据库中的数字。 创建所有这些东西对我来说应该不是一个大问题，但我不知道如何在 JS 和 SQL 之间创建安全连接。我已经读到与 javascript 的直接连接是非常不安全的。

有人推荐使用java或者c#来建立sql连接。那将如何运作？基本上只是一个 Javascript 代码，它运行一个 java/c# 应用程序（它建立一个 sql 连接）并返回所需的 sql 数据？ 还听说可以用node.js创建sql连接，这样安全吗？还是其他方法更合适？

问候

Answer 1

我已经读到与 javascript 的直接连接是非常不安全的

危险在于让客户直接访问您的数据库。 JavaScript 最常在 Web 浏览器的客户端运行，因此要访问数据库，您必须在数据库服务器上为浏览器（以及访问者）提供用户名和密码，并让它们运行原始 SQL。

这有很多可能的安全风险，不值得。

（顺便说一句：您不能使用浏览器端的 JavaScript 建立任意套接字连接，因此无论如何都不可能从它连接到大多数数据库服务器）。

---

如果你想将数据暴露给在 web 浏览器中运行的 JavaScript，那么标准的方法是编写一个 webservice。

您可以使用您喜欢的任何编程语言（包括 JavaScript）编写 Web 服务。它侦听 HTTP 请求，从中读取数据，可能执行 authn/authz，查询数据库（应用有据可查的防御 SQL 注入 攻击）并返回结果（通常格式为 JSON )。

因此，客户端 JavaScript 只需使用在查询字符串或请求正文中传递的参数发出 HTTP 请求（例如使用 XMLHttpRequest 或 fetch），并处理从它返回的数据。

Answer 2

使用客户端 javascript 连接到数据库非常不安全，因为 javascript 需要知道登录详细信息。由于客户端 javascript 在客户端，因此任何用户都可以以纯文本形式查看登录详细信息。

最好的方法是在服务器上创建一个 web 服务。单击该按钮时，它将使用输入的数字作为参数向 Web 服务发出 GET/POST 请求。几乎可以使用任何语言制作的 Web 服务将创建与数据库的连接并插入行本身。

Answer 3

虽然我建议使用网络服务路线，因为这样更容易确保安全。除非你有一个非常好的系统并且准确地理解你在做什么，否则使用 javascript 到数据库是非常危险的；但是如果你真的想这样做并且有一个需要它的应用程序，那么可以使用与 CouchDB 连接的 PouchDB。

PouchDB 在本地运行，可以通过 HTTP 与 CouchDB 同步。

https://pouchdb.com/ https://couchdb.apache.org/

这里有一个答案，讨论 pouchDb 与 couchDb 同步的基本安全性。基本上，每个人都需要单独的登录凭据，并且永远不应将凭据存储在页面代码中。 PouchDB security

pouchDB 有一些巧妙的用途：https://pouchdb.com/users.html