当使用es6模板文字构建查询时,它们能否防止SQL注入?您能提供一些常见攻击的示例以及如何减轻它们的影响吗?
更具体地说,我计划在一个node项目中使用mssql模块。在他们的文档中,在模板文字部分中,它说“所有值都会自动针对SQL注入进行过滤”。这是因为ES6模板文字的工作方式而成立的吗?
更具体地说,我计划在一个node项目中使用mssql模块。在他们的文档中,在模板文字部分中,它说“所有值都会自动针对SQL注入进行过滤”。这是因为ES6模板文字的工作方式而成立的吗?
不,ES6模板字面量只是构建字符串的另一种方式,并且如果您使用它们从提供的用户输入构建原始 SQL 查询而没有进行附加过滤/转义,则不能保护您免受 SQL 注入攻击:
let name = "Robert'; DROP TABLE Students;--"; // user supplied input
let sql = `SELECT * FROM Students WHERE name = '${name}'`; // build query...
console.log(sql); // Injected SQL!
是的,但只有在使用适当的标签时才可以。当您使用标签时,称为标记模板文字。标签紧跟在第一个反引号之前。
您可以使用node-mssql
的sql.query
作为标签或使用https://github.com/TehShrike/sql-tagged-template-literal
const SQL = require('sql-template-strings');
let name = "Robert'; DROP TABLE Students;--"; // user supplied input
let sql = SQL`SELECT * FROM Students WHERE name = '${name}'`; // build query...
console.log(sql); // Non-injected SQL!
// SELECT * FROM Students WHERE name = 'Robert''; DROP TABLE Students;--'
提示!如果使用sql
标签,编辑器可能会自动语法高亮模板文字中的SQL,详情请参考JavaScript标记模板字面扩展。