es6 模板文字在用于构造查询时是否可以防止 SQL 注入?您能否提供一些常见攻击的示例以及如何缓解这些攻击?
更具体地说,我计划在节点项目中使用mssql 模块。在模板文字部分下的文档中,它说“所有值都会自动清理以防止 SQL 注入”。这纯粹是因为 ES6 模板文字的工作原理吗?
【问题讨论】:
标签: javascript sql node.js ecmascript-6 sql-injection
不,ES6 模板文字只是构建字符串的另一种方式,如果您要使用它们从提供的用户输入构建原始 SQL 查询而无需额外过滤/转义,则不能保护您免受 SQL 注入:
let name = "Robert'; DROP TABLE Students;--"; // user supplied input
let sql = `SELECT * FROM Students WHERE name = '${name}'`; // build query...
console.log(sql); // Injected SQL!【讨论】:
是的,但前提是您使用了适当的标签。当您使用标签时,它被称为标签模板文字。标签就在第一个反引号之前。
您可以使用sql.query by node-mssql 作为标签或https://github.com/TehShrike/sql-tagged-template-literal
const SQL = require('sql-template-strings');
let name = "Robert'; DROP TABLE Students;--"; // user supplied input
let sql = SQL`SELECT * FROM Students WHERE name = '${name}'`; // build query...
console.log(sql); // Non-injected SQL!
// SELECT * FROM Students WHERE name = 'Robert''; DROP TABLE Students;--'
提示!如果highlight the SQL inside the template literal 使用sql 标签,编辑器可能会自动语法化。
【讨论】: