这对 node-postgres 安全吗?

Is this safe for node-postgres?

提问人:RJA 提问时间:12/17/2022 最后编辑:MureinikRJA 更新时间:12/20/2022 访问量:50

问:

我正在尝试将一条记录插入到名为 的表中。执行 INSERT 时,我手头没有所有值。我想从名为 .我设法让它工作,但作为一个相当新的,我想问一下这是否对 SQL 注入是安全的?emailprovider

const newEmailRecord = {
  text: 'INSERT INTO email(col1, col2, col3, col4, col5, col6, col7) (SELECT $1, $2, prov_first_name AS col3, prov_email AS col4, $3, $4, $5 FROM provider WHERE prov_id=($6))',
  values:[ var1, var2, var3, var4, var5, var6ProvId],
}
  
await client.query(newEmailRecord);
.js SQL SQL注入 节点 Postgres

评论

答:

1赞 Mureinik 12/17/2022 #1

所有可能从应用程序外部引入的值都绑定到占位符。这应该可以免受 SQL 注入攻击。

上一个:是否可以通过 XSS 漏洞执行 SQL 注入?

下一个:在 SQL 查询中排序后的 SQL 注入有效负载