我需要清理快速路由参数吗?
Do I need to sanitize express route parameters?
如果我在 Express 中有一个带有用于查询我的数据库的路由参数的路由,我需要在使用它之前清理这个参数吗?
你需要和不需要消毒完全取决于你用它做什么。
路由参数中的内容完全来自用户,因此它可以是 URL 中允许并与您的路由参数匹配的任何内容。这意味着有可能在其中注入有害物质。但是,是否真的可能造成伤害取决于您使用的确切代码。如果您将此用户内容注入到 SQL 语句中,那么它可能会做各种各样的坏事。如果您只是将它用作特定数据库中的可编程查询参数 API,可能没有任何危害。
因此,没有适用于数据所有可能用途的通用答案。这取决于您使用它的具体代码。
如有疑问,请在使用前清理并验证用户输入。
如果我在 Express 中有一个带有用于查询我的数据库的路由参数的路由,我需要在使用它之前清理这个参数吗?
你需要和不需要消毒完全取决于你用它做什么。
路由参数中的内容完全来自用户,因此它可以是 URL 中允许并与您的路由参数匹配的任何内容。这意味着有可能在其中注入有害物质。但是,是否真的可能造成伤害取决于您使用的确切代码。如果您将此用户内容注入到 SQL 语句中,那么它可能会做各种各样的坏事。如果您只是将它用作特定数据库中的可编程查询参数 API,可能没有任何危害。
因此,没有适用于数据所有可能用途的通用答案。这取决于您使用它的具体代码。
如有疑问,请在使用前清理并验证用户输入。