Mysql 如何防止nodejs和sequelize中的sql注入?
我希望使用Sequelize编写自定义查询,并尽可能避免SQL注入的潜在问题。因此,我的问题是,是否存在一种使用Sequelize编写带有插入变量的自定义查询的安全方法?Sequelize会转义替换,从而避免了SQL注入攻击的核心问题:未转义字符串。在使用SQLite或PostgreSQL时,它还支持绑定参数,通过将参数分别发送到数据库和查询,进一步降低了风险: 绑定参数类似于替换。除非换人逃脱 并在将查询发送到之前通过sequelize插入到查询中 数据库,而绑定参数则发送到外部数据库 SQL查询文本。查询可以具有绑定参数,也可以具有 替代品 只有SQLite和PostgreSQL支持绑定参数。其他方言 将它们插入到SQL查询中的方式与对其执行的方式相同 替代品。绑定参数由$1、$2、。。。 (数字)或$key(字母数字)。这与方言无关Mysql 如何防止nodejs和sequelize中的sql注入?,mysql,node.js,express,sql-injection,sequelize.js,Mysql,Node.js,Express,Sql Injection,Sequelize.js,我希望使用Sequelize编写自定义查询,并尽可能避免SQL注入的潜在问题。因此,我的问题是,是否存在一种使用Sequelize编写带有插入变量的自定义查询的安全方法?Sequelize会转义替换,从而避免了SQL注入攻击的核心问题:未转义字符串。在使用SQLite或PostgreSQL时,它还支持绑定参数,通过将参数分别发送到数据库和查询,进一步降低了风险: 绑定参数类似于替换。除非换人逃脱 并在将查询发送到之前通过sequelize插入到查询中 数据库,而绑定参数则发送到外部数据库 SQL