Javascript 节点Mysql库中的SQL注入
我试图在节点mysql库中进行sql注入 我在Nodejs中使用by do编写了一个插入查询:Javascript 节点Mysql库中的SQL注入,javascript,node.js,Javascript,Node.js,我试图在节点mysql库中进行sql注入 我在Nodejs中使用by do编写了一个插入查询: pool.query(`Insert into orders(orderType,CustomerID,storeNumber,stageNumber) Values('${orderType}',${customerID},'${storeNumber}','${stageNumber}')`,function(err,rows,fields){ if(err){
pool.query(`Insert into orders(orderType,CustomerID,storeNumber,stageNumber) Values('${orderType}',${customerID},'${storeNumber}','${stageNumber}')`,function(err,rows,fields){
if(err){
console.log(err)
}
var orderID=rows.insertId
}
所有变量都来自我使用req.body
在表单中的stageNumber字段中,而不是我正在写入的storeNumber中:
'); Delete from orderDetail;
这并没有从我的表中删除任何内容
从我的控制台.log(err)我得到
错误:ER_PARSE_错误:您的SQL语法有错误;检查
右边是与MySQL服务器版本对应的手册
在“从orderDetail删除;”附近使用的语法
我想不出删除
”)“
的方法,但我知道它是从哪里来的。甚至可以在节点MySQL库中进行SQL注入吗 你已经试过了吗
'); Delete from orderDetail; --
这将忽略post中的任何字符,在这种情况下,这将非常理想。它不允许您在一个调用中执行多个查询。您可以执行SQL注入,但不能创建多个查询。大多数MySQL API不允许多个查询,因此小Bobby表无法成功。我所知道的唯一允许多个查询的API是PHP中的
mysqli\u multi\u query()
。