菜鳥教程中的nodejs連接mysql數(shù)據(jù)庫(kù)教程存在sql注入問(wèn)題嗎？

是否有漏洞與代碼有關(guān)，與此無(wú)關(guān)

成都創(chuàng)新互聯(lián)是專業(yè)的蛟河網(wǎng)站建設(shè)公司，蛟河接單;提供網(wǎng)站設(shè)計(jì)制作、成都網(wǎng)站制作,網(wǎng)頁(yè)設(shè)計(jì),網(wǎng)站設(shè)計(jì),建網(wǎng)站,PHP網(wǎng)站建設(shè)等專業(yè)做網(wǎng)站服務(wù);采用PHP框架,可快速的進(jìn)行蛟河網(wǎng)站開發(fā)網(wǎng)頁(yè)制作和功能擴(kuò)展;專業(yè)做搜索引擎喜愛的網(wǎng)站,專業(yè)的做網(wǎng)站團(tuán)隊(duì),希望更多企業(yè)前來(lái)合作!

其中主流的連接MySQL的方式是用mysql或者mysql2包，它們只是提供了調(diào)用驅(qū)動(dòng)的api。很多框架中包括egg，nest都是基于此封裝的。

但這不是SQL注入的關(guān)鍵，它只是一種連接方式。它只管連接，不管其他的，存不存在SQL注入完全靠寫代碼的人本身啊。

一句腳本本沒(méi)有問(wèn)題(知道不讓直接放sql的，也是放注入)，但是你如果讓SQL變成由用戶輸入拼接而成，那就存在SQL注入的風(fēng)險(xiǎn)。

你應(yīng)該去了解SQL注入的原理，然后進(jìn)行防患，百度就能找到，然后可以用ORM，一般都對(duì)輸入做了處理，還能避免直接寫SQL(但其實(shí)難的地方還得自己寫)。

有不理解可以追問(wèn)。

NoSQL 會(huì)有注入問(wèn)題嗎？

只要有交叉，通常而言都會(huì)有注入漏洞的。只是對(duì)于漏洞，你大可放心，應(yīng)為一般而言注入提權(quán)都是針對(duì)常用的熱門數(shù)據(jù)庫(kù)和已知漏洞進(jìn)行的，對(duì)于新興的沒(méi)有大規(guī)模使用的數(shù)據(jù)庫(kù)來(lái)說(shuō)，沒(méi)有太多人花很多時(shí)間去研究，只要沒(méi)大規(guī)模傳播擴(kuò)散漏洞信息，即使是有，也比較安全的。總不可能有人就專盯你的數(shù)據(jù)庫(kù)入侵提權(quán)吧

求大神講講web安全，nodejs怎么防止跨域攻擊和sql注入

是CSRF(Cross-site request forgery) 不是你寫的那個(gè)!

跨域不用擔(dān)心.主流瀏覽器都會(huì)幫你做防御的. 問(wèn)題不大,主要是你自己別給其他域的權(quán)限即可.非必要的話,以最小權(quán)限原則.

xss主要就是過(guò)濾輸入輸出.如果業(yè)務(wù)很多,還是找人審計(jì)代碼吧.或者用比較成熟的模塊.CSRF的話,1,驗(yàn)證來(lái)源 2加隨機(jī)token之類的.

sqli主要還是過(guò)濾輸入的地方.過(guò)濾/轉(zhuǎn)義關(guān)鍵字比如select,and,or等等(有專門的防注入模塊).覺(jué)得怕麻煩的話.用那些云主機(jī)的防御功能.再加個(gè)cdn基本就沒(méi)事了.(對(duì)于一般的反射型跨站也適用)

當(dāng)前文章：nodenosql注入,node防止sql注入
鏈接地址：http://chinadenli.net/article43/dsigjes.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供搜索引擎優(yōu)化、企業(yè)建站、網(wǎng)站改版、域名注冊(cè)、靜態(tài)網(wǎng)站、網(wǎng)站導(dǎo)航

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)