Node.js 解决sql注入问题

女爷i 2022-02-25 08:17 400阅读 0赞

这段时间维护Node.js编写的项目，发现登陆SQL注入问题。经过一番折腾解决了这个问题，现记录如下：

### **一、问题描述 ** ###

> 这样的方式很容易被人在动态参数中加入特殊字符产生sql注入，威胁数据库的安全。
> 
> 如果 login\_name 输入**'or'1'='1**，SQL语句会变成  uf.login\_name = '' or '1' = '1' AND uf.password = ' ' 
> 
> 也就是说不需要知道登录名，只要输密码就可以。

--------------------

### **二、解决方案** ###

如果对参数使用escape，就能将参数中的特殊字符进行转义，防止sql的注入。

WHERE uf.login_name = `+ mysql.escape(login_name) +` AND uf.password = `+ mysql.escape(password) +`

--------------------

### **三、拓展** ###

**3.1 使用escape()对传入参数进行编码**

> mysql.escape(param)
> 
> connection.escape(param)
> 
> pool.escape(param)

**3.2 escape()方法编码规则如下**

>    **：**  
>     Numbers不进行转换；  
>     Booleans转换为true/false；  
>     Date对象转换为’YYYY-mm-dd HH:ii:ss’字符串；  
>     Buffers转换为hex字符串，如X’0fa5’；  
>     Strings进行安全转义；  
>     Arrays转换为列表，如\[‘a’, ‘b’\]会转换为’a’, ‘b’；  
>     多维数组转换为组列表，如\[\[‘a’, ‘b’\], \[‘c’, ‘d’\]\]会转换为’a’, ‘b’), (‘c’, ‘d’)；  
>     Objects会转换为key=value键值对的形式。嵌套的对象转换为字符串；  
>     undefined/null会转换为NULL；  
>     MySQL不支持NaN/Infinity，并且会触发MySQL错误。

参考：[https://blog.csdn.net/lin\_tuer/article/details/54809330][https_blog.csdn.net_lin_tuer_article_details_54809330]

[https_blog.csdn.net_lin_tuer_article_details_54809330]: https://blog.csdn.net/lin_tuer/article/details/54809330