当使用es6模板文字构建查询时,它们能否防止SQL注入?您能提供一些常见攻击的示例以及如何减轻它们的影响吗?
更具体地说,我计划在一个node项目中使用mssql模块。在他们的文档中,在模板文字部分中,它说“所有值都会自动针对SQL注入进行过滤”。这是因为ES6模板文字的工作方式而成立的吗?
更具体地说,我计划在一个node项目中使用mssql模块。在他们的文档中,在模板文字部分中,它说“所有值都会自动针对SQL注入进行过滤”。这是因为ES6模板文字的工作方式而成立的吗?
ES6模板字面量能够防止SQL注入吗?
9
- drew
2
你是指跨站脚本攻击(XSS)吗? - aquinas
1@aquinas 由于OP标记了node.js,我认为这个问题确实是关于服务器端SQL注入的。然而,答案是否定的,模板字面量并不能保护任何东西。它们只是一种“花哨”的构建字符串的方式。 - le_m
2个回答
13
不,ES6模板字面量只是构建字符串的另一种方式,并且如果您使用它们从提供的用户输入构建原始 SQL 查询而没有进行附加过滤/转义,则不能保护您免受 SQL 注入攻击:
let name = "Robert'; DROP TABLE Students;--"; // user supplied input
let sql = `SELECT * FROM Students WHERE name = '${name}'`; // build query...
console.log(sql); // Injected SQL!- le_m
2
2明白了。我现在在他们的文档中看到模板字面量是由sql.query标签引导的,因此模块中的该函数提供了净化功能。感谢您的回答。 - drew
1请注意文档中提到,标记模板文字会被清理,标记的解释在这里的其他答案和文档中也有详细说明。 - Rayee Roded
7
是的,但只有在使用适当的标签时才可以。当您使用标签时,称为标记模板文字。标签紧跟在第一个反引号之前。
您可以使用node-mssql的sql.query作为标签或使用https://github.com/TehShrike/sql-tagged-template-literal
const SQL = require('sql-template-strings');
let name = "Robert'; DROP TABLE Students;--"; // user supplied input
let sql = SQL`SELECT * FROM Students WHERE name = '${name}'`; // build query...
console.log(sql); // Non-injected SQL!
// SELECT * FROM Students WHERE name = 'Robert''; DROP TABLE Students;--'
提示!如果使用sql标签,编辑器可能会自动语法高亮模板文字中的SQL,详情请参考JavaScript标记模板字面扩展。
- Christiaan Westerbeek
1
OP问到了关于MSSQL的问题。'sql-template-strings'不支持MSSQL。"...使用ES6标记模板字符串来进行预编译/转义语句。适用于mysql、mysql2、postgres和sequelize。" - undefined
网页内容由stack overflow 提供, 点击上面的可以查看英文原文,
原文链接
原文链接