SQL注入防护
本话题发布SQL注入防护相关的问答文章和技术分享,将持续更新,为您推荐了10篇问答,访问即可查看更多精彩内容。
-
2
回答
27浏览
存储过程真能防住SQL注入吗?我这样写安全吗?
我在用Node.js调用MySQL的存储过程,听说用存储过程能防SQL注入,但我还是有点不放心。比如我这样拼接参数传进去: CALL getUserInfo(${userId}) 会不会有风险?是不是...
-
1
回答
48浏览
前端做SQL注入防护,只靠输入验证够吗?
我在写一个带搜索功能的React页面,后端是PHP。现在对用户输入做了简单的正则过滤,比如/[']/g这种,但听说这样防不住SQL注入?是不是还得配合参数化查询才行? 我试过在输入框里输' OR '1...
-
1
回答
35浏览
前端如何防止SQL注入时意外暴露敏感信息?
我在做用户登录功能时,后端用了参数化查询防SQL注入,但前端错误提示写得太详细,比如直接显示“用户名或密码错误”,担心被用来暴力探测账户。想隐藏具体错误,但又不能让用户完全不知道哪里出错,这该怎么平衡...
-
2
回答
24浏览
Sequelize用原生SQL查询时怎么防注入?
我用Sequelize的sequelize.query()执行原生SQL,但用户输入会拼接到查询里,担心有SQL注入风险。比如下面这样写是不是不安全? const userId = req.query...
-
2
回答
27浏览
用ORM就真的不会SQL注入了吗?
我最近在用 Sequelize 写接口,听说 ORM 能防 SQL 注入,但心里还是不踏实。比如下面这种写法: const user = await User.findOne({ where: { i...
-
2
回答
52浏览
在Sequelize中使用findOrCreate时如何防止SQL注入?
最近在用Sequelize做用户注册功能时,发现直接拼接查询条件可能会有SQL注入风险。比如这样写: User.findOrCreate({ where: { username: req.body.u...
-
2
回答
89浏览
错误处理时如何避免泄露SQL注入漏洞细节?
我在做登录接口时发现,当用户输入特殊符号触发SQL注入防护,后端返回的错误信息里包含了表名和列名。比如输入username=' OR 1=1时,错误提示显示Unknown column 'userna...
-
2
回答
255浏览
参数化查询没防住SQL注入?我的代码哪里写错了?
最近在学参数化查询防注入,但测试时发现还是能被绕过。比如在Node.js用mysql模块写这个登录验证: const query = 'SELECT * FROM users WHERE u...
-
2
回答
70浏览
怎么在防止SQL注入的同时隐藏具体错误信息?
我在做用户登录功能时发现一个问题,用JavaScript拼接SQL语句时虽然用了参数化查询,但后端返回的错误信息里会暴露数据库表结构: const query = <code>SELECT...
-
2
回答
42浏览
在Sequelize中使用findOrCreate时如何防止SQL注入?
我最近在做用户注册功能,用Sequelize的findOrCreate方法根据邮箱查找或创建用户。但发现直接拼接查询条件时(比如`where: { email: req.body.email }`),...
