Javascript 节点Mysql库中的SQL注入_Javascript_Node.js

Javascript 节点Mysql库中的SQL注入

javascript node.js

Javascript 节点Mysql库中的SQL注入,javascript,node.js,Javascript,Node.js,我试图在节点mysql库中进行sql注入我在Nodejs中使用by do编写了一个插入查询： pool.query(`Insert into orders(orderType,CustomerID,storeNumber,stageNumber) Values('${orderType}',${customerID},'${storeNumber}','${stageNumber}')`,function(err,rows,fields){ if(err){

我试图在节点mysql库中进行sql注入

我在Nodejs中使用by do编写了一个插入查询：

  pool.query(`Insert into orders(orderType,CustomerID,storeNumber,stageNumber) Values('${orderType}',${customerID},'${storeNumber}','${stageNumber}')`,function(err,rows,fields){
     if(err){
            console.log(err)
        }
        var orderID=rows.insertId
    }

所有变量都来自我使用

req.body

在表单中的stageNumber字段中，而不是我正在写入的storeNumber中：

'); Delete from orderDetail;

这并没有从我的表中删除任何内容

从我的控制台.log（err）我得到

错误：ER_PARSE_错误：您的SQL语法有错误；检查右边是与MySQL服务器版本对应的手册在“从orderDetail删除；”附近使用的语法

我想不出删除

”）“

的方法，但我知道它是从哪里来的。甚至可以在节点MySQL库中进行SQL注入吗

你已经试过了吗

'); Delete from orderDetail; --

这将忽略post中的任何字符，在这种情况下，这将非常理想。

它不允许您在一个调用中执行多个查询。您可以执行SQL注入，但不能创建多个查询。大多数MySQL API不允许多个查询，因此小Bobby表无法成功。我所知道的唯一允许多个查询的API是PHP中的

mysqli\u multi\u query（）

。