Sequelize: SQL 注入 sequelize.query
Sequelize: SQL Injection with sequelize.query
我第一次将 Sequelize 与 PostgreSQL 结合使用。这也是我很长时间以来第一次使用 SQL 数据库。
我一直在研究如何提高某些 SQL 查询的性能和安全性。我偶然发现了 sequelize.query() 方法并开始将其用于此目的。
这种在 Sequelize 中使 raw queries 容易受到 SQL 注入攻击的方法吗?
虽然您可以避免它们,但您也可以发出易受 SQL 注入攻击的查询。
如果您只使用 查询,这些查询将 Replacements or Bind Parameters 用于 所有用户输入的值,您应该是安全的。
这是否容易受到 SQL 注入的攻击:简单的答案是 "yes"。
您正在使用原始查询。如果该原始查询曾经从用户输入中获取输入,无论是间接输入,您都会打开 SQL 注入的可能性。风险是否真实取决于您的其余代码。
性能不同。原始查询可能比使用 sequalize 方法的性能略高,但更依赖于数据库结构和查询本身的性质。这是一个广泛的话题,无法根据给定的信息回答。
我第一次将 Sequelize 与 PostgreSQL 结合使用。这也是我很长时间以来第一次使用 SQL 数据库。
我一直在研究如何提高某些 SQL 查询的性能和安全性。我偶然发现了 sequelize.query() 方法并开始将其用于此目的。
这种在 Sequelize 中使 raw queries 容易受到 SQL 注入攻击的方法吗?
虽然您可以避免它们,但您也可以发出易受 SQL 注入攻击的查询。
如果您只使用 查询,这些查询将 Replacements or Bind Parameters 用于 所有用户输入的值,您应该是安全的。
这是否容易受到 SQL 注入的攻击:简单的答案是 "yes"。 您正在使用原始查询。如果该原始查询曾经从用户输入中获取输入,无论是间接输入,您都会打开 SQL 注入的可能性。风险是否真实取决于您的其余代码。
性能不同。原始查询可能比使用 sequalize 方法的性能略高,但更依赖于数据库结构和查询本身的性质。这是一个广泛的话题,无法根据给定的信息回答。