nodejs sequelize库防注入测试

最新推荐文章于 2024-08-04 19:30:48 发布
最新推荐文章于 2024-08-04 19:30:48 发布
阅读量6.9k 收藏 3
点赞数
CC 4.0 BY-SA版权
分类专栏: mysql 文章标签: sql注入 sequelize
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/bbhe_work/article/details/53229695
本文探讨了在Node.js中使用Sequelize库时如何防止SQL注入,详细介绍了SQL注入的产生原因及解决办法。通过对比直接查询SQL语句和使用Sequelize接口的方式,阐述了参数绑定在防止注入中的重要作用,并提供了测试示例。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

介绍

  • 在nodejs中使用sequlize库来查询mysql数据库, 提供了常用的方法有两种:

    1. 直接查询sql语句: sequelize.query();
    2. 通过接口,如Project.findAll();

  • sequelize的第2种查询方法在实现上做了防注入处理, 但该方法使用并不是很灵活, 对于经常使用原生sql语句的人来说, 总有一种不适应, 感觉手脚被束缚; 而对于使用方法1, 则必须注意防sql注入;

这里我测试前面提到的两种查询方式如何做到初步的防sql注入功能;

sql注入

产生原因

下面的查询语句, 加入了用户输入的时间项: begin, end, 正常情况是: 

begin = 20161101;
SELECT .. FROM tbl WHERE pdate>=20161101 AND ...;

而如果有人故意输入如下的参数, 则就会出现sql注入:

begin = '20161101 AND 1=1; -- hack';
SELECT .. FROM tbl WHERE pdate>=20161101 AND 1=1; -- hack ...;

解决办法

解决上面的办法, 通常有两种:
1. 对输入的参数进行转义, 因为sql注入通常需要'符号来闭合前面的', 这样如果位面在输入的参数中的'全部转义为\', 则查询时就不会出现中断(执行两条sql语句), 参看下面的例子;
2. 设置mysql只能一次执行一条sql语句;

测试

sequelize.query()Project.findAll()对比

先看代码

var tblName = 'tbl_test', begin = '20160923 AND 1=1;-- hack', end = 20160928;
var sqlQuery = `SELECT * FROM ${tblName} WHERE pdate>=${begin} AND pdate<=${end} GROUP BY pdate`;
Promise.resolve([
    // 第一条查询
    sequelize.query(sqlQuery),   
    // 第一二条查询
    Project.findAll({   
        attributes: { exclude:['id'] },
        where: {
            pdate: {
                $and:{
                    // 参数中加上了'来闭合前面的', 后面的1=1为注入语句
                    $gte: "20160923' AND 1=1;-- hack",   
                    $lte: end
                }   
            }
        }
    })
]).spread(function(sql1, sql2){

})
  • 上面第一个为sequelize.query()执行, 最终执行的查询语句为:
select * from tbl_test where padte>=20160923 and 1=1;-- hack and pdate<=....;

结果出现注入, pdate<=..这一块的条件没有被执行;

  • 上面第二个查询为Project.findAll()执行, 最终执行的语句为:
select * from tbl_test where pdate>'20160923\' AND 1=1;-- hack' AND pdate<='...'.....;

显然,这里参数里的20160923'引号没有起作用, 被转换为了`20160923\”,所以有效避免了注入, 制查询了符合要求的数据或空数据;

sequelize.query() + 参数绑定

下面通过sequelize.query()接口提供的参数绑定和查询方法指定来防止sql注入的发生.

  • 下面的查询语句解析为:
    select * from tbl_test where padte>='20160923 and 1=1;-- hack' and pdate<=....;
    字符串被直接替换,没有被注入;
  • 注意,这里的表名table不能通过bind的参数传进去, 因为这样在语句里会表达为字符串: …. from ‘tbl_test’ where …, 这样是错误的语句,所以上面用字符串模板传入,也可以硬编码进去;
var tblName = 'tbl_test', begin = '20160923 AND 1=1;-- hack', end = 20160928;
var sqlQuery = `SELECT * FROM ${tblName} WHERE pdate>=$begin AND pdate<=$end GROUP BY pdate`;
Promise.resolve([
    sequelize.query(sqlQuery,
        type: ymModel.sequelize.QueryTypes.SELECT,  // 指定sql为SELECT
        bind: { 
            begin: begin, 
            end: end 
        }
    ),
]).spread(function(sql1){

})
23 个非常有用的 NodeJs
与其临渊羡鱼,不如退而结网
02-01 1203
1. Express 地址:https://www.npmjs.com/package/express 快速、无约束、极简的node web框架。 2. Socket.io 地址:https://www.npmjs.com/package/socket.io Socket.IO 支持基于事件的实时双向通信。 3. Body-parser 地址:https://www.npmjs.com/package/body-parser body-parser是非常常用的一个express中
SQL注入以及部分绕过方法详解
时乙的博客
09-23 1741
数据知识补充 1.information_schema数据 其中保存着关于MySQL服务器所维护的所有其他数据的信息。如数据名,数据的表,表栏的数据类型与访问权限等。在information_schema 中,有数个只读表。它们实际上是视图,而不是基本表,因此,你将无法看到与之相关的任何文件。 2.information_schema.schemata表 提供了当前mysql实例中所有数据的信息,其中需要用到的是 schema_name 这一列,存放的是各个数据的名称 .
node sequelize.query() sql防注入
weixin_39157635的博客
12-20 4515
nodejs中使用sequlize来查询mysql数据, 提供了常用的方法有两种 (1)直接查询sql语句 sequelize.query();// 需要做sql防注入 (2)通过接口 Project.findAll();//在实现上就做了sql防注入处理,但是必须配合medel使用,不灵活 sequelize.query() 原生查询使用replacements 防sql注入 ...
node mysql 防注入_nodejs sequelize防注入测试
weixin_39799290的博客
02-08 443
介绍在nodejs中使用sequlize来查询mysql数据, 提供了常用的方法有两种:直接查询sql语句: sequelize.query();通过接口,如Project.findAll();sequelize的第2种查询方法在实现上做了防注入处理, 但该方法使用并不是很灵活, 对于经常使用原生sql语句的人来说, 总有一种不适应, 感觉手脚被束缚; 而对于使用方法1, 则必须注意防sql注...
【Node.js实战】一文带你开发博客项目之安全(sql注入、xss攻击、md5加密算法)
wangluoanquan111的博客
01-31 1286
前面,我们使用原生 nodejs 已经大体完成了 myblog 的项目,下面我们来学习一下如何为我们项目的安全保驾护航…sql注入:窃取数据内容XSS攻击:窃取前端的 cookie 内容密码加密:保障用户信息安全(重要!我们只关注通过 web server (nodejs)层面预防至此,我们明白了如何防止sql注入、如何预防xxs攻击、以及如何为密码加密继续跟进学习吧!后续会对该项目进行多次重构【多种框架(express,koa)和数据(mysqlsequelize,mongodb)】
sql 对应 sequelize
Brook
02-29 2625
sequelize调用distinct函数 xx.xx.findAll({where:begin_date,attributes:['DISTINCT `nb_id`']},SqlQureyFormat).complete(function(dberr, dbresult) { }} sql:SELECT DISTINCT `nb_id` FROM `xx` WHERE 1=1;
sequelize、moudle简单使用
Navie的博客
03-13 854
MySQL Node.js驱动程序 1.Node.js程序访问MySQL数据 添加依赖包: 1.npm i mysql2 2.npm i sequelize ORM、ODM区别: ODM对象数据模型、ORM对象关系模型 ODM / ORM 能将网站中的数据表示为 JavaScript 对象,然后将它们映射到底层数据 1.ODM 通常慢一些,因为在对象和数据格式之间存在一层用于映射的翻译代码 ...
NodeJSSequelize集成开发RESTful服务教程
资源摘要信息:"Node.js结合Sequelize ORM和MySQL...以上知识点涵盖了如何使用Node.js结合Sequelize ORM和MySQL数据来创建RESTful API服务器的基本概念和步骤,这为开发者提供了一个构建和测试RESTful服务的完整示例。
简约记账小程序Nodejs后端(源码)
01-31
数据操作可能通过ORM(对象关系映射)Sequelize或Mongoose来简化,以便于与JavaScript对象进行交互。 4. **安全性**:项目可能包含了防止SQL注入、XSS攻击的安全措施,以及对敏感信息如密码的加密处理,以...
nodeJS中express框架和mysql简单的连接demo
11-08
在Node.js环境中,Express框架是构建Web应用的首选工具,而MySQL则是广泛使用的开源关系型数据管理...此外,随着应用规模的扩大,你可能需要引入ORM(对象关系映射),如Sequelize或TypeORM,以简化数据操作。
北邮数据自主实验nodejs+mysql
05-28
4. **连接管理**:使用如`mysql2`或`sequelize`等,建立Node.js与MySQL之间的连接,进行数据交互。 5. **API设计**:设计RESTful API接口,通过HTTP请求操作数据,例如GET请求获取数据,POST请求添加新记录,...
NODEJS ORM sequelizejs 常见用法
坐在那边看天空 的博客
03-17 1423
sequelizejs 是一款 NODEJS ORM ,支持各大主流数据,如MYSQL,MSSQL等。GITHUB上1W+ Star.项目使用中感觉功能强大,也很简洁,不过没有中文文档。查询: 汇总 reglist.sum('regsalesum', { where: { printcode: 1} });生成SQL SELECT SUM(regsalesum) FROM reglist W...
在 Node.js 中,如何防止 SQL 注入
最新发布
有我更精彩的博客
08-04 998
防止 SQL 注入是保护应用程序和数据安全的重要步骤。我们可以通过参数化查询、ORM 等方式有效地避免 SQL 注入攻击。在实际项目中,建议始终采用这些最佳实践,以提高代码的安全性。最后问候亲爱的朋友们,并邀请你们阅读我的全新著作。
如何保护Node.js应用不受安全威胁(如SQL注入、XSS攻击等)?
有我更精彩的博客
07-25 732
保护Node.js应用免受安全威胁并不是一劳永逸的事情,而是一个持续的过程。通过实施输入验证、使用ORM、防范XSS攻击、强化安全中间件以及定期进行安全测试,开发者可以在很大程度上提高应用程序的安全性。最后问候亲爱的朋友们,并邀请你们阅读我的全新著作。
毕业一年,从事运维感觉没有出路,如何转型更有前景?
Python_0011的博客
07-08 1775
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
NodeJS使用Sequelize 使用事务时,各方法的传参方式
小歲月丶太着急
03-31 1136
例子使用的是一个电影对象,需要存储电影基本信息:名称,简介,上映时间,剧照(一对多),电影类型(多对多),演员列表(多对多) 使用非托管事务方法: //连接数据 var Sequelize = require("sequelize"); var seq = new Sequelize('sequelize_demo', 'root', '654321', { host: '127.0.0.1', port: '3306', dialect: "mysql", dialectOptions:
nodejs学习笔记】安全:sql注入、xss攻击的概念和预防及密码加密的方式
种一棵树最好的时间是十年前,其次是现在。
10-31 1294
后端安全:sql注入、xss 攻击的概念和预防。密码加密的方法等。
学习笔记:node-mysql防止SQL注入
08-10 649
备注: 本文针对 mysqljs/mysql。 为了防止SQL注入,可以将SQL中传入参数进行编码,而不是直接进行字符串拼接。在node-mysql中,防止SQL注入的常用方法有以下四种: 方法一:使用escape()对传入参数进行编码: 参数编码方法有如下三个: mysql.escape(param) connection.escape(param) pool.escape(par
nodejs中查询mysql防止SQL注入
cowcomic的专栏
08-03 6484
Performing queries The most basic way to perform a query is to call the .query() method on an object (like a Connection, Pool, or PoolNamespace instance). The simplest form of .query() is .query(sql...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值