将数据发布到数据库失败答案

【问题标题】：Failure posting data to database将数据发布到数据库失败
【发布时间】：2019-08-07 16:50:43
【问题描述】：

我不知道为什么 post 功能有问题。它返回 “无法获取 /api/signup/email/password/nick”。

但Get功能正常

我在任何地方都找不到任何答案。我不熟悉后端开发。

var express = require('express');
var app = express();
var mysql = require('mysql');

var db = mysql.createConnection({
    host: "localhost",
    user: "root",
    database : "flatduties",
    password: ""
});

db.connect(function(err) {
    if (err) throw err;
    console.log("Connected!");
});


///////////// API //////////////

const router = express.Router();
app.use('/api', router);

router.get('/', (request, response) => {
    response.json({message: 'api v1 - projekt'});
});

router.post('/signup/:email/:passwrd/:nick', function(req, res, next) {  
var mail = req.params.email;
var pass = req.params.passwrd;
var nick = req.params.nick;

db.query("INSERT INTO `user`(`Email`, `Password`, `Nick`) VALUES  ('"+mail+"', '"+pass+"', '"+nick+"');", function (error, results,fields) {
  if(error){
    res.send(JSON.stringify({"status": 500, "error": error, "response": null}));
  } else {
    res.send(JSON.stringify({"status": 200, "error": null, "response": results}));
  }
});
});

router.get('/login/:email/:passwrd', function(req, res, next) {
  var email = req.params.email;
  var pass = req.params.passwrd;

  db.query("SELECT UserID, Email, Password, Nick, GroupID FROM user WHERE Email ='"+email+"' AND Password ='"+pass+"';", function (error, results, fields) {
  if(error){
    res.send(JSON.stringify({"status": 500, "error": error, "response": null}));
  } else {
    res.send(JSON.stringify({"status": 200, "error": null, "response": results}));
  }
});
});

app.listen(8888);

【问题讨论】：

警告：一定要使用带有占位符值的预处理语句以避免SQL injection bugs。这对于确保正确转义任何值并且不会引起问题是必要的。大多数驱动程序都有这个功能，像Sequelize 这样的驱动程序很容易，所以真的没有理由不这样做。
警告：存储纯文本密码是一种糟糕的习惯，即使对于测试代码也是如此。将它们放在 URL 中是更糟糕的方式。没有理由永远这样做。将这些作为常规 POST 参数发送。
警告：在 Node.js 中编写身份验证时，您可能希望使用 Passport 或类似的东西，而不是滚动您自己的解决方案。身份验证不是一个容易解决的问题，这里有许多微妙的问题，要了解您面临的问题，请查看您需要防范的 myriad of security concerns。
好的，但是现在有一个问题，它找不到我的路径，例如：localhost:8888/api/signup/email/pass/nick 我不知道为什么
现在你拥有的是不应该部署的鲁莽危险的代码。很抱歉，但修复这种方法确实没有任何好处。如果您想学习如何出于教育目的从头开始编写身份验证系统，那很好，我们可以提供帮助，但这不是这样做的方法。

标签： mysql node.js xampp

【解决方案1】：

@Tadman 在他的 cmets 中的警告咆哮是完全正确的。互联网上到处都是网络爬虫，只是希望有人的网站像你的一样不安全。如果这个网站可供全世界使用，几乎可以肯定它会在一周内获得授权。

在 Stack Overflow 上，当人们做不安全的事情时，我们会全力以赴。为什么我们对它如此执着？我怎么知道这种事情很危险？这是一个漫长而令人尴尬的故事。

永远不要在这样的网址中输入密码

https://pwned.example.com/login/oskar%40example.com/secret

它将登陆您的网络服务器日志。然后，您以及任何看到您的日志的人都将知道您的用户密码。用户真的真的不喜欢那样。

要处理登录的东西，我建议你看看passport 扩展节点/快递。

要散列您的密码，请查看bcrypt。

说了这么多：

你有这个代码。

router.post('/signup/:email/:passwrd/:nick', function(req, res, next) { /*unsafe*/
    var mail = req.params.email;
    var pass = req.params.passwrd;
    var nick = req.params.nick;
    db.query("INSERT....

您在 node / express 程序中想要的更像是这样。您从 POST 操作的主体（有效负载）中获取参数。

const bcrypt = require('bcrypt');
const saltRounds = 10;
...
router.post('/signup', function(req, res, next) {
    const mail = req.body.email;
    const pass = req.body.passwrd;
    const nick = req.body.nick;
    /* securely hash the password */
    bcrypt.hash(pass, saltRounds, function(err, hash) {
       /* store hash, never pass, in your database. */
       db.query("INSERT ...
    });
 ...

然后，在您的 html 中，您需要这样的内容（未调试，而且样式绝对不美观。）

 <form method="post" action="https://example.com/signup">
     <input type="email" name="email" placeholder="Your email address" />
     <input type="password" name="passwrd" />
     <input type="text" name="nick" placeholder="Your nickname" />
     <input type="submit" name="submit" value="Sign Up Now" />
 </form>

当您的用户单击“立即注册”时，网络浏览器会将表单发布到您的节点/快递应用程序，其中表单字段位于正文中，而不是 URL。

【讨论】：