亚洲激情专区-91九色丨porny丨老师-久久久久久久女国产乱让韩-国产精品午夜小视频观看

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

Node+mysql怎么實現SQL注入

發布時間:2022-11-15 09:42:35 來源:億速云 閱讀:127 作者:iii 欄目:web開發

這篇文章主要介紹“Node+mysql怎么實現SQL注入”,在日常操作中,相信很多人在Node+mysql怎么實現SQL注入問題上存在疑惑,小編查閱了各式資料,整理出簡單好用的操作方法,希望對大家解答”Node+mysql怎么實現SQL注入”的疑惑有所幫助!接下來,請跟著小編一起來學習吧!

雖然現在不會直接使用 原生NodeJS 的方式開發后臺,但了解一下 SQL注入 還是很有必要的。

本文使用 NodeJS + MySQLSQL注入 進行講解。

SQL注入攻擊 是很古老的攻擊方式了,自從 web2.0 誕生后就有 SQL注入攻擊。它通常出現在 輸入框文本域 等前端組件中。在輸入的內容里加入 SQL語句 ,并一同傳給后臺。

后臺一不小心就會將前端傳過來的 SQL語句 拼接到自己的 SQL語句 中,最終拼接成一段攻擊代碼。

所以必須加以預防,不然有可能出現數據泄露,甚至被刪庫等可能。

SQL 注入演示

以登錄為例,我在 MySQL 中添加一個 users 表,里面存儲用戶名和密碼。

users 表中,我創建了一條數據:insert into users (username, password, realname) values ('leihou', '123', '雷猴');

數據的意思是:

  • username: 'leihou'

  • password: '123'

  • realname: '雷猴'

此時,在 NodeJS 后臺,我創建了一個登錄方法

const mysql = require('mysql')

// 創建連接對象
const con = mysql.createConnection({
    host: 'localhost', // 地址
    user: 'root', // 連接數據庫的用戶
    password: '123456', // 連接數據庫的密碼
    port: '3306', // 默認端口
    database: 'testdb' // 數據庫名
})

// 開始連接
con.connect()

// 統一執行 sql 的函數
function exec(sql) {
  const promise = new Promise((resolve, reject) => {
    con.query(sql, (err, result) => {
      if (err) {
        reject(err)
        return
      }
      resolve(result)
    })
  })
  return promise
}

// 登錄方法
const login = (username, password) => {
  const sql = `
    select username, realname from users where username='${username}' and password='${password}';
  `

  console.log(sql)
  return exec(sql).then(rows => {
    return rows[0] || {}
  })
}

上面是登錄方法。

最后可以通過 《NodeJS http請求》 里提到的方法創建一個接口給前端。由于接口部分不是本文重點,所以這里打算略過(讓我偷懶吧)。

此時再創建一個 HTML 頁面,大概生成一下內容,然后使用 Ajax 與后端對接。

如果你懶的話可以直接使用 postman 測試

根據上面的 登錄方法 可以得知,前端輸入以下內容就可以登錄成功

  • 用戶名:leihou

  • 密碼:123

但如果此時,用戶名輸入的是 leihou' -- ,注意 -- 前后都有空格。那密碼就可以隨便輸入了。

最后拼接出來的 SQL 語句是 select username, realname from users where username='leihou' -- ' and password='aslkfjsaf';

注意,密碼我是隨便輸入的。

MySQL 里, -- 代表注釋的意思。所以上面的語句就變成 查詢 username 為 leihou 的那條數據 。自然就繞過了密碼。

上面輸入的 username 的內容繞過登錄,泄露了信息。但如果別人要刪掉你的表,那后果就非常嚴重了。

比如在用戶名輸入框內輸入:leihou'; delete from users; --

直接就把 users 表給刪掉了。

防止方法

SQL注入攻擊 實在太古老了,有十幾年歷史了。所以基本的應對方法都成熟了。

比如將前端傳過來的字符串進行轉碼。

使用 NodeJS 下載的 MySQL 依賴包里就提供了這個方法:escape

// 省略部分代碼
const mysql = require('mysql')

// 省略創建連接對象
// 省略開始連接
// 統一執行 sql 的函數 exec 方法

const escape = mysql.escape

const login = (username, password) => {
  username = escape(username)
  password = escape(password)
  const sql = `
    select username, realname from users where username=${username} and password=${password};
  `

  console.log(sql)
  return exec(sql).then(rows => {
    return rows[0] || {}
  })
}

使用 escape 方法過濾后的字符串會被轉義。

此時如果用戶名輸入 leihou' -- ,在后端控制臺會打印出如下內容:

select username, realname from users where username='leihou\' -- ' and password='123345';

可以看到 leihou' 后面的單引號被轉義了。

到此,關于“Node+mysql怎么實現SQL注入”的學習就結束了,希望能夠解決大家的疑惑。理論與實踐的搭配能更好的幫助大家學習,快去試試吧!若想繼續學習更多相關知識,請繼續關注億速云網站,小編會繼續努力為大家帶來更多實用的文章!

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

南丰县| 即墨市| 桦川县| 和静县| 台湾省| 松滋市| 安丘市| 大丰市| 湟源县| 铜山县| 濮阳市| 南宫市| 嘉鱼县| 色达县| 林芝县| 潜山县| 清丰县| 开阳县| 博白县| 蒙自县| 香格里拉县| 临西县| 饶河县| 江源县| 阜平县| 克山县| 涿州市| 贵港市| 鸡西市| 兴隆县| 正宁县| 武陟县| 依安县| 都江堰市| 丹江口市| 兴国县| 和平区| 安阳市| 芷江| 崇阳县| 阿坝县|