Articles of 代码注入

防止单引号标记(当mysql转义()

var user = "hi"; //this info comes from the client in reality console.log(user); //user user = client.escape(user); //cient being a Mysql client console.log(user); //'user' 然后当我插入到数据库中时,单引号仍然存在。 而当我select它时,还有… 有没有办法确保客户端没有做注入的东西,同时,不要在数据库中添加单引号? 或者至less有一种方法来删除它们,如unescape()? 我可以使用user.slice(1,-1)但似乎不正确的做法。 注意:我正在使用Nodejs。

child_process在node.js安全/转义中产生

在Node中,我使用了一个模块( GM ),并注意到它使用了child_process模块中的spawn来传递参数给GraphicMagick的convert可执行文件。 我将用户提交的信息传递给GM​​。 是否有安全问题,用户可以使用pipe道(或其他命令行欺骗)进行某种注入攻击? 还是spawn保护呢? 如果不是的话,在这种情况下是否有逃避用户提交值的最佳做法?

Mongoose和查询注入时使用Javascript?

MongoDB如何解决SQL或查询注入? 解释了在服务器上使用JavaScript时如何使用BSON处理查询注入。 我一直无法跟踪Mongoose如何处理查询注入。 在这一点上,我有两个问题: Mongoose防止查询注入(使用BSON或其他方法) 如果是这样,开发人员需要注意的是它的实现有什么怪癖吗?

MongoDB在node.js中的安全性

对于说一个MySQL数据库有已知的安全问题。 这是如何适用于NoSQL数据库? 例如Injections,xss等。使用NoSQL db时,您需要采取什么样的安全措施? 特别是关于MongoDB(使用node-mongodb-native )和Node.js(使用Express) 如果是这样,有没有Node / Express模块​​有助于防止这种情况?