有人查看我的代码说下面的 SQL 查询 (SELECT * FROM...) 显然容易受到攻击。我对此进行了研究,似乎我通过使用参数化查询正确地做到了这一点,但显然我遗漏了一些东西。
app.get("/api/v1/:userId", async (req, res) => {
try {
const teammate = await db.query("SELECT * FROM teammates WHERE uid = $1", [
req.params.userId,
]);
最佳答案
该查询不对SQL注入(inject)开放,因为它使用了参数化查询。数据不会代替参数 ($1
),而是在“绑定(bind)”消息中单独发送,因此无论数据包含什么,都不会被解释为 SQL 语句的一部分。
此外,看起来参数是一个整数,SQL 注入(inject)只能发生在字符串参数上。
https://stackoverflow.com/questions/69292758/