Prevenir a injecção de SQL em Javascript/nó

Question

Prevenir a injecção de SQL em Javascript/nó

estou a usar o nó.js para criar um bot de discórdia. Alguns dos meus códigos são os seguintes:

var info = {
  userid: message.author.id
}

connection.query("SELECT * FROM table WHERE userid = '" + message.author.id + "'", info, function(error) {
  if (error) throw error;
});

As pessoas disseram que o modo como eu me coloco não é seguro. Como posso fazer isto? Um exemplo?

3

mysql javascript sql node.js sql-injection

Author: Lance Whatley, 2017-04-27

Source

3 answers

score 6 · Answer 1

A melhor maneira de o fazer é usar as declarações ou consultas preparadas (ligação à documentação do npm mysql Módulo: https://github.com/mysqljs/mysql#preparing-queries)

var sql = "SELECT * FROM table WHERE userid = ?";
var inserts = [message.author.id];
sql = mysql.format(sql, inserts);

Se as declarações preparadas não são uma opção (não faço ideia porque não seriam), a forma de um homem pobre evitar a injecção de SQL é escapar a toda a entrada fornecida pelo utilizador, tal como descrito aqui: https://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheet#MySQL_Escaping

score 1 · Answer 2

Utilizar consultas preparadas;

var sql = "SELECT * FROM table WHERE userid = ?";
var inserts = [message.author.id];
sql = mysql.format(sql, inserts);

Você pode encontrar mais informações aqui .

score 1 · Answer 3

Aqui está o documento sobre como escapar de forma adequada a qualquer utilizador fornecido dados para evitar injecções de SQL: https://github.com/mysqljs/mysql#escaping-query-values Deve ser suficiente.