Knex.js 会阻止 sql 注入吗?
Does Knex.js prevent sql injection?
我正在使用 MySql 数据库,并试图找到 tedious.js 的 MySQL 替代方案(SQL 服务器参数化查询生成器)。我使用 Node.js 作为我的后端。
我读到来自 knex.js 的 .raw() 命令容易受到 sql 注入的影响,如果不与绑定一起使用的话。
但是其他命令和 knex.js 作为一个整体是否可以安全地用于防止 sql 注入?还是我找错树了?
仔细阅读 knex 文档,了解如何将值传递给 knex raw (http://knexjs.org/#Raw)。
如果您将值作为参数绑定传递给 raw,例如:
knex.raw('select * from foo where id = ?', [1])
在这种情况下,参数和查询字符串分别传递给数据库驱动程序,以保护查询免受 SQL 注入。
其他查询生成器方法始终在内部使用绑定格式,因此它们也是安全的。
要查看某个查询是如何传递给数据库驱动程序的,可以这样做:
knex('foo').where('id', 1).toSQL().toNative()
这将输出 SQL 字符串和为 运行 查询提供给驱动程序的绑定 (https://runkit.com/embed/2yhqebv6pte6)。
knex 原始查询可能犯的最大错误是使用 javascript 模板字符串并将变量直接插入到 SQL 字符串格式,例如:
knex.raw(`select * from foo where id = ${id}`) // NEVER DO THIS
需要注意的一件事是 knex table/identifier 名称不能作为绑定传递给驱动程序,因此应该格外小心,不要从用户那里读取 table / 列名称并使用它们没有先正确验证它们。
编辑:
说标识符名称不能作为绑定传递我的意思是当一个人使用 ?? knex -binding 作为标识符名称时,它将作为 SQL 字符串的一部分传递给数据库驱动程序。
我正在使用 MySql 数据库,并试图找到 tedious.js 的 MySQL 替代方案(SQL 服务器参数化查询生成器)。我使用 Node.js 作为我的后端。
我读到来自 knex.js 的 .raw() 命令容易受到 sql 注入的影响,如果不与绑定一起使用的话。 但是其他命令和 knex.js 作为一个整体是否可以安全地用于防止 sql 注入?还是我找错树了?
仔细阅读 knex 文档,了解如何将值传递给 knex raw (http://knexjs.org/#Raw)。
如果您将值作为参数绑定传递给 raw,例如:
knex.raw('select * from foo where id = ?', [1])
在这种情况下,参数和查询字符串分别传递给数据库驱动程序,以保护查询免受 SQL 注入。
其他查询生成器方法始终在内部使用绑定格式,因此它们也是安全的。
要查看某个查询是如何传递给数据库驱动程序的,可以这样做:
knex('foo').where('id', 1).toSQL().toNative()
这将输出 SQL 字符串和为 运行 查询提供给驱动程序的绑定 (https://runkit.com/embed/2yhqebv6pte6)。
knex 原始查询可能犯的最大错误是使用 javascript 模板字符串并将变量直接插入到 SQL 字符串格式,例如:
knex.raw(`select * from foo where id = ${id}`) // NEVER DO THIS
需要注意的一件事是 knex table/identifier 名称不能作为绑定传递给驱动程序,因此应该格外小心,不要从用户那里读取 table / 列名称并使用它们没有先正确验证它们。
编辑:
说标识符名称不能作为绑定传递我的意思是当一个人使用 ?? knex -binding 作为标识符名称时,它将作为 SQL 字符串的一部分传递给数据库驱动程序。