Sequelize model.build（req.body）對於注射安全嗎？

Question

我是新來Sequelize（使Node.js的ORM），如果下面的代碼是安全的疑惑：

var models = require('../models'); 
var router = require('express').Router(); 

router.post('/', function(req, res, next){ 
    models.Account 
    .create(req.body)  // <-- THIS IS WHAT MY QUESTION IS ABOUT, IS THIS SAFE? 
    .then(function(result){ 
     res.status(200) 
     .send(result) 
     .end(); 
    }).catch(next); 
}); 

如果您正在使用這個，難道這是在某種方式不安全？ 其他的解決辦法是：

var models = require('../models'); 
var router = require('express').Router(); 

router.post('/', function(req, res, next){ 
    models.Account 
    .create({ 
     username: req.body.username, // <-- THIS IS MORE VERBOSE BUT PROBABLY SAFER? 
     accountname: req.body.accountname, 
     level:  req.body.level 
    }) 
    .then(function(result){ 
     res.status(200) 
     .send(result) 
     .end(); 
    }).catch(next); 
}); 

所以基本上我的問題是：是否可以安全使用完整的請求體作爲輸入model.create()函數（model.set()和model.build()）？

Answer 1

作爲一般規則，在將數據傳遞到任何持久性技術之前，您應該驗證輸入以查看它是否對您的域是安全的。因此，即使這從SQL注入攻擊的角度來看是安全的，我仍然建議在調用models.Account.create之前通過額外的驗證步驟來執行第二種方法，以便將已知值傳遞給ORM，而不是任何進來的HTTP請求的身體（這可能是任何東西，不只是在你的網頁上）