【发布时间】:2018-09-14 20:13:45
【问题描述】:
我正在使用 MySql 数据库,并试图找到一个 MySQL 替代 tedious.js(一个 SQL 服务器参数化查询构建器)。我正在使用 Node.js 作为我的后端。
我读到 knex.js 中的 .raw() 命令很容易受到 sql 注入的影响,如果不与绑定一起使用的话。 但是其他命令和 knex.js 作为一个整体是否可以安全地用于防止 sql 注入?还是我找错树了?
【问题讨论】:
【发布时间】:2018-09-14 20:13:45
【问题描述】:
仔细阅读 knex 文档如何将值传递给 knex raw (http://knexjs.org/#Raw)。
如果您将值作为参数绑定传递给原始数据,例如:
knex.raw('select * from foo where id = ?', [1])
在这种情况下,参数和查询字符串分别传递给数据库驱动程序,以保护查询免受 SQL 注入。
其他查询构建器方法始终在内部使用绑定格式,因此它们也很安全。
要查看某个查询是如何传递给数据库驱动程序的:
knex('foo').where('id', 1).toSQL().toNative()
这将输出 SQL 字符串和提供给驱动程序以运行查询的绑定 (https://runkit.com/embed/2yhqebv6pte6)。
使用 knex 原始查询的最大错误是使用 javascript 模板字符串并将变量直接插入 SQL 字符串格式,例如:
knex.raw(`select * from foo where id = ${id}`) // NEVER DO THIS
需要注意的一点是,knex 表/标识符名称不能作为绑定传递给驱动程序,因此应该格外小心,不要从用户那里读取表/列名称并在没有先正确验证它们的情况下使用它们。
编辑:
通过说标识符名称不能作为绑定传递,我的意思是当使用?? knex -绑定作为标识符名称时,它会在传递给数据库驱动程序时作为 SQL 字符串的一部分呈现。
【讨论】:
-
感谢您的快速回复。这帮助很大!
-
@mikael-lepistö 我能够使用表/标识符名称作为
??语法的绑定。有趣的事实是,我通过找到你打开的关于它的问题了解了语法github.com/tgriesser/knex/issues/1003 -
@PhilippeHebert 我认为通过 Knex Ref API 最容易访问:knexjs.org/#Ref
-
那么下面的也是受保护的吧?
knex('table').where('description', 'like', '%${term}%')。出于某种原因,stackoverflow.com/questions/50327070/… 另有说法,他们指的是您的回答。 -
@JoelH 我认为不可能阻止这种情况(这是一个 javascript 功能)。例如,如果您正在生成 SQL 字符串,它们会很有用。