过去,我认为sequelize在某种程度上自动防止SQL注入,但当前版本的手册暗示存在需要进行净化的情况(link)。
抱歉如果这是一个愚蠢的问题,但我还没有找到任何明确的答案,是否在使用sequelize时需要进行净化。
谢谢。
抱歉如果这是一个愚蠢的问题,但我还没有找到任何明确的答案,是否在使用sequelize时需要进行净化。
谢谢。
2个回答
4
为了保障安全,您应该始终尝试对来自用户输入的任何数据进行消毒处理。但是,使用运算符会更加安全。在可能的情况下,请始终使用Sequelize.Op。
- Michael McCabe
2
3
除了同意McCabe的答案外,我想补充一点,sequelize至少可以处理未转义的字符串,这可以说是处理SQL注入问题的重要部分。即使您想编写自定义查询,也可以使用替换方式实现,如此处第一句所述:"...replacements are escaped and inserted into the query by sequelize before the query is sent to the database..."。请注意,sequelize会在将查询发送到数据库之前对替换内容进行转义和插入。
- Joel
网页内容由stack overflow 提供, 点击上面的可以查看英文原文,
原文链接
原文链接
- 相关问题
- 3 我需要为使用Sequelize的Node.js项目担心MySQL连接池吗?
- 5 使用Node.js进行用户输入处理
- 3 当定义一个模型时,我应该使用Sequelize还是DataType?
- 3 如何对从HTTP参数流入send的输入进行消毒处理
- 3 当通过child_process执行命令时,我该如何使用node处理输入提示?
- 76 由于每秒限制,需要对API请求进行节流和排队处理。
- 3 我需要在使用node.js连接mongodb时进行同步调用/事务吗?
- 29 我需要在使用MongoDB(MongoDB+Node.js组合)之前对用户输入进行清理处理吗?
- 8 使用 Nest.js,我想要对所有 @body() 输入值进行 trim() 操作。
- 3 如何在服务器端对API响应进行消毒处理?
%' UNION SELECT password FROM Users where username LIKE '%。 如果您没有对其进行净化并且它进入原始查询如sequelize.query("SELECT x FROM y WHERE x like '%" + query + "%'", { type: models.sequelize.QueryTypes.SELECT}),则可能会出现问题。 - Michael McCabe