在节点项目中通过 sequelize 搜索所有潜在的 SQL 注入
Search for all potential SQL injections via sequelize in a node project
我看到一个遗留项目可以通过 Sequelize 原始查询 SQL 注入。为了确定潜在嫌疑人,我在整个项目中搜索了:
.query(来源:https://sequelize.org/v5/manual/raw-queries.html).literal(来源:https://sequelize.org/v5/class/lib/sequelize.js~Sequelize.html#static-method-literal)
除了使用 query 和 literal 方法之外,还有其他方法可以通过 sequelize 运行 SQL 注入吗?
如果我们有这样的东西,Sequelize.fn 也可能很危险:
Sequelize.fn('EXECUTE_FN', 'DROP TABLE sometable;')
我看到一个遗留项目可以通过 Sequelize 原始查询 SQL 注入。为了确定潜在嫌疑人,我在整个项目中搜索了:
.query(来源:https://sequelize.org/v5/manual/raw-queries.html).literal(来源:https://sequelize.org/v5/class/lib/sequelize.js~Sequelize.html#static-method-literal)
除了使用 query 和 literal 方法之外,还有其他方法可以通过 sequelize 运行 SQL 注入吗?
Sequelize.fn 也可能很危险:
Sequelize.fn('EXECUTE_FN', 'DROP TABLE sometable;')