NodeJS 预定义的 SQL 查询过滤器安全补丁

NodeJS predefined SQL query filter security patch

提问人:Daniel Tenan 提问时间:6/28/2023 更新时间:6/28/2023 访问量:11

问:

我有这个查询,它是用 NodeJS React 编写的。

const lftAds = await this.LftAdRepository.manager.query(`
        SELECT lft.id, lft.user_id, lft.description, lft.x, lft.z, lft.y, lft.k, lft.languages, user.username, user.profile_photo
        FROM lft_ad AS lft
        LEFT JOIN users AS user ON lft.user_id = user.p
        ${orderBy ? `ORDER BY lft.${orderBy} ${order || 'ASC'}` : ''}
        ${take ? `LIMIT ${take}` : ''}
      `);

如您所见,在底部,我有 orderby、order 和 take 等条件。这是为了通过我的restAPI进行排序,如下所示:

/finder/players?orderBy=id&order=desc

但是,这可能很容易进行 SQL 注入。我试过把它做成一个准备好的语句,但很难以这种方式将条件保留在查询中。

有没有人对如何保留这些过滤器有好主意,但修补潜在的 SQL 注入?

MySQL 节点 .js ReactJS SQL 注入

评论

答: 暂无答案

上一个:Fortify 扫描失败,原因数据用于动态构造 SQL 查询

下一个:如何在 ColdFusion 站点上更正此 SQL 注入?