Node.js中用escape解决sql注入

2023-02-21 07:23:01JavaScript017

Node.js中用escape解决sql注入,第1张

这时正常情况下能查询到一条数据，如果将param修改成

let param = 'ns"-- '

sql语句就会变成

select * from tb_nature where nature = "ns"-- " and del_status=1

后面的del_status就会被参数中的 -- 注释掉，失去作用，能查询到多条数据。

如果对param使用escape包装下，就能将参数中的特殊字符进行转义，防止sql的注入。

let sql = 'select * from tb_nature where nature = ' + mysql.escape(param) + ' and del_status=1'

防止sql注入攻击，在数据库方面，针对每一个表的增删改，写存储过程，程序主要靠存储过程操作数据。在代码中，个别特殊需要数据查询的，如果不能通过存储过程，那就尽量用传参的方式，尽量不要拼接sql。如果非要拼接，要对拼接字符串进行处理，Tools的如下字符串处理方法可以防止注入攻击： /// /// 格式化文本（防止SQL注入） /// /// /// public static string AntiSQL(string html) { Regex regex一 = new Regex(@"<script[\s\S]+", RegexOptions.IgnoreCase) Regex regex二 = new Regex(@" href *= *[\s\S]*script *:", RegexOptions.IgnoreCase) Regex regex三 = new Regex(@" on[\s\S]*=", RegexOptions.IgnoreCase) Regex regex四 = new Regex(@"<iframe[\s\S]+", RegexOptions.IgnoreCase) Regex regex5 = new Regex(@"<frameset[\s\S]+", RegexOptions.IgnoreCase) Regex regex一0 = new Regex(@"select", RegexOptions.IgnoreCase) Regex regex一一 = new Regex(@"update", RegexOptions.IgnoreCase) Regex regex一二 = new Regex(@"delete", RegexOptions.IgnoreCase) html = regex一.Replace(html, "") //过滤标记 html = regex二.Replace(html, "") //过滤href=javascript: () 属性 html = regex三.Replace(html, " _disibledevent=") //过滤其它控件的on...事件 html = regex四.Replace(html, "") //过滤iframe html = regex一0.Replace(html, "s_elect") html = regex一一.Replace(html, "u_pudate") html = regex一二.Replace(html, "d_elete") html = html.Replace("'", "’") html = html.Replace(" ", " ") return html

词库加载错误未能找到文件“E高铁采集器内存溢出ConfigurationDictStopwordstxt”

# 上一篇：CSS样式中div.c与div_.c有什么区别

# 下一篇：xml在java项目中起到的作用具体是什么？

给您推荐相同类型的内容：

电脑突然无限重启是怎么回事？
电脑突然无限重启可能有六种原因，具体原因如下。(一)无限重启原因1.可能是系统或程序间有不兼容的地方。2.CPU或其它硬件温度过高、内存、显卡不兼容或故障引起的。3.硬盘有坏道。4.电源故障和电压不稳。5.驱动不兼容也可导致重启的
css手册总结（二）
分拆纵向独立属性。为元素设置上、下外边距。分拆横向独立属性。为元素设置上、下外边距。分拆独立属性。为元素单独设置上、右、下、左4个方向的内边距。属性值描述:1.阴影类型：此参数可选，默认的投影方式是
用C语言如何算平均数和方差及标准差
由于没有指明数据的来源，下面就从文本文件"data.txt"中取出一些学生的身高数据，并计算平均值，方差和标准差！代码如下：#include&ltstdio.h&gt#include &ltm
学习js、、、、、、、需要精通CSS吗？
可以啊，想学什么都行，学无止境的。学习css，然后js，然后php，不过js是看上去简单，深入的学习比php还难些，从php开始学也可以~光css的话要精通也需要很多时间的。如果只想个人建站的话，那随便了，js从网上找代码都行学习下去的话，
完美解决js 禁止滚动条滚动，并且滚动条不消失，页面大小不闪动
当前的项目遇到了这个问题，当打开dialog的时候，希望主页面的滚动条不要滚动。一番搜索之后，发现大家的解决办法分为两种。一种就是隐藏滚动条，但是这样的话，前台页面会因为滚动条的隐藏和出现而发生宽度的变化。这就使得每次一
css font-family常用的黑体宋体等字体中英文对照表
雅黑示范："microsoft yahei", "Times New Roman", "宋体", Times, serif 宋体SimSun 黑体SimHei 微软雅黑
JS轻松获取对象之srcElement与target篇
开发中，当执行一个事件时需要去知道触发这个事件的对象是谁？那么，如何获取，在这里我就对 event.srcElement与event.target 操作获取略作区分。 event.srcElement：表示可以获取当前作
js编写的小游戏有哪些
有是有，但并不是很多，而且都是贪吃蛇之类的，非常小的游戏，即便是页游也一样。能运行在浏览器端的语言，确实只有JS，但在开发阶段，却并不一定要使用JS写。而是用其他语言写，直接使用JS写游戏，实在太自虐了。JS本身的缺点非常严重，如果只是写D
css3 实现动画效果，怎样使他无限循环动下去？
一、实现CSS3无限循环动画代码示例。代码如下：CSS:@-webkit-keyframes gogogo {0%{-webkit-transform: rotate(0deg)border:5px solid red}50
在电脑上怎么编写文件
如果是编写程序文件的话，需要下载对应的程序编写软件，如VC6.0等，如果是编写文档，数据表格类的需要下载办公软件，一般电脑都会提前安装有办公软件的，以WPS为例说明：1、没有软件的话，先安装软件，如下图所示；2、在桌面空白位置单击鼠标右键
电脑显示脱机状态怎么办
1.电脑脱机状态怎么解除造成电脑网页处于脱机状态的原因一般是与电脑上的ie浏览器设置有关的。第一步：任务栏右下角打印机图标不会消失，可却也没有红色叹号显示。鼠标放上去有提示“一个文档待打印，原因为”。第二步：双击任务栏的打印机图
如何用c编写程序读取端口com xx 的数据？
com串口在windows系统下被封装成了一个文件，文件名就是串口名，没有路径直接写名字，读写方法和普通文件读写方法相同，就是需要先设置一些属性，比如字节长度，波特率等等，属性设置C语言的文件函数库没有，需要调用WINDOWS的API函数，
xml在java项目中起到的作用具体是什么？
java项目中,xml文件一般都是用来存储一些配置信息一般的编程, 多数用来存储配置信息 . 拿JDBC来说,可以把数据库连接字符串写到xml,如果要修改数据源,只需要改xml就可以了,没必要再去重新编译java文件,而且,这些配置信息
js如何实现点击图片弹出窗口并放大这张图片,弹出的窗口有半透明遮罩层效果，弹出的窗口不跳页面？
通过JS代码 document.getElementById('divID').style.etElementById('divID').style.display = 'none
关于AR技术，在图像识别部分都是什么原理
类似于指纹识别。打个比方，就是用摄像头拍摄下你的面部，然后在电脑里面安装相应的软件进行记忆，当你下次开机的时候，摄像头会根据现在的图象以及存储的图象来判断使用者身份，符合要求的就可以开机进入页面，否则进不去，就像密码一样。不过目前的图象识别
将less文件转换成css文件
两种方式，分别为：1、手动生成；2、使用webstorm自动生成。 1、项目的文件结构 2、在less文件的根目录 Shift + 鼠标右键 + 选择‘在此处打开命令窗口’ 3、输入命令：lessc + 空格 + less文
看到网上很多css的炫酷特效我没思路
先模仿再创新；这是作为一个网页前后台从事多年的菜鸟经验，这类特效复杂，对于css、js、HTML综合应用能力强的人练习非常有用，有些特效在实际的网页应用中并没有实际的应用。然后如果这类特效你都能很好的自己模仿出来，那么自然就有思路了。可以
怎样用js改变图片路径?
先给图片标签&ltimg&gt赋个ID如&ltimgid="s"&gt然后在JS里写document.getElementById("s").src=图片路径就可以了
css长度单位有哪些
在写css的时候最常用的长度单位是px(像素)，经常看到的还有em，pt等等，其实css中的长度单位一共有8个，分别是px，em，pt，ex， pc ，in，mm，cm。 1、px：像素(Pixel),相对于设备的长度单位，像素是相对于
怎么解决电脑卡顿运行慢
一、电脑硬件问题：很多朋友在购买电脑的时候预算不足，或者买的电脑配置过低，导致在运行大型游戏或者同事打开多个应用程序时，出现莫名的卡顿，重启电脑又恢复正常。还有一种情况是电脑的硬件老化导致电脑运行加载变得非常慢，比如机械硬盘使用年限一长就会
简述CSS的主要作用
css简介：层叠样式表(英文全称：Cascading Style Sheets)是一种用来表现HTML（标准通用标记语言的一个应用）或XML（标准通用标记语言的一个子集）等文件样式的计算机语言。CSS不仅可以静态地修饰网页，还可以配合各种
css的字体怎么用方正行楷
设置方法如下：1、font-family:u65b9u6b63u884cu6977u0020其中u65b9u6b63u884cu6977u0020是方正行楷的Unicode编码，这样避免了浏览器不认识方正行楷的问题
初学R语言需要用什么书比较好？
《R语言实战》《R语言编程艺术》，这个过程中最好结合一些小例子来做一些分析的东西。其他还有《R语言实例》《R语言核心技术手册》也都是很好的书。首先R是一种专业性很强的统计语言，如果想学得快一些的话，基本的统计学知识要懂，不然很多东西会掌握
电脑怎么退出淘宝登录
淘宝是我们经常使用的购物平台，为了账户的安全，通常要退出账户。接下来教大家电脑怎么退出淘宝登录材料工具电脑方法13将鼠标移至淘宝首页用户名旁边的向下箭头处请点击输入图片描述23在弹出的界面中点击退出请点击输入图片描述33成
css文字下划线能设置距离
有时候UI设计的时候文字下方会有一个下划线，所以我们经常用 text-decoration:underline 来设置一个下划线，但是呢，发现这个下划线和文字特么的重合了，来没法设置，只能用别的方法代替了，啪啪啪的写一大堆css 现在
d3.js力导向图节点设置为图片
设置方法如下：1、首先打开节点设置，选择固定节点。2、保存当前节点后，点击左上角的输入，另存为pdf文件。3、将pdf文件保存在桌面即可。var force = d3.layout.force()layout将json格式转化为力学图可
js,鼠标上下滑轮或者拉动滚动条触发事件
window.onmousewheel = function(){ 触发滚轮事件}window.onscroll = function(){ 滚动条事件}其实你的问题直接使用判断滚动条应该就可以了，但是如果一定要拖动滚动条
css如何让一行内的文字两端对齐？
需要准备的材料分别有：电脑、浏览器、html编辑器。1、首先，打开html编辑器，新建html文件，例如：index.html。2、在index.html中的&ltstyle&gt标签中，输入css代码：div{bor
js如何屏蔽触屏的点击事件当运行到该页面时候，该页面的触屏点击事件都屏蔽掉
1. 重写touchstart touchmove等事件，让这些事件什么也不做例如： document.ontouchstart = funciton(){ return false}2. 取消事件冒泡的行为 3 把你的触屏事件删除掉挺麻烦
用自己编写的js代码控制网页刷新
如果对话框是浏览器弹出的确认对话框,通常是不受JS控制的,比如用POST方法请求得到的页面,在刷新时浏览器通常会有一个重新发送表单数据的确认对话框.这种情况一般可以用Ajax重提表单绕过.如果不是这种情况,JS一般都可以解决.reload

推荐阅读

热门文章

最新发布

标签列表

Node.js中用escape解决sql注入

给您推荐相同类型的内容：