Nodejs MySQL 防止SQL注入

2019-04-02

Mysql, Nodejs, 笔记

Nodejs MySQL 防止SQL注入

https://blog.csdn.net/lin_tuer/article/details/54809330

方法一：使用escape()对传入参数进行编码：

参数编码方法有如下三个：

1
2
3

mysql.escape(param)
connection.escape(param)
pool.escape(param)

例如：

1	var query = connection.query('SELECT * FROM users WHERE id = ' + connection.escape(userId) + ', name = ' + connection.escape(name),

escape()方法编码规则如下：

Numbers不进行转换；
Booleans转换为true/false；
Date对象转换为’YYYY-mm-dd HH:ii:ss’字符串；
Buffers转换为hex字符串，如X’0fa5’；
Strings进行安全转义；
Arrays转换为列表，如[‘a’, ‘b’]会转换为’a’, ‘b’；
多维数组转换为组列表，如[[‘a’, ‘b’], [‘c’, ‘d’]]会转换为’a’, ‘b’), (‘c’, ‘d’)；
Objects会转换为key=value键值对的形式。嵌套的对象转换为字符串；
undefined/null会转换为NULL；
MySQL不支持NaN/Infinity，并且会触发MySQL错误。

方法二：使用connection.query()的查询参数占位符：

可使用 ? 做为查询参数占位符。在使用查询参数占位符时，在其内部自动调用 connection.escape() 方法对传入参数进行编码。

如：

1
2
3

var query = connection.query('SELECT * FROM users WHERE id = ?, name = ?', [userId, name], function(err, results) {
    // ...
});