在Expressjs項目中,我使用https://www.npmjs.com/package/mssql連接到Microsoft SQL Server並嘗試執行存儲過程。根據mssql
(https://www.npmjs.com/package/mssql#sql-injection)的文檔將處理所有SQL注入,我認爲它沒有發生。如何在mssql節點模塊中處理SQL注入
有人可以幫助我如何處理此節點模塊中的SQL注入?
var sql = require('mssql');
var dbConfig = {};
var Connection = new sql.Connection(dbConfig);
Connection.connect().then(function(_connection){
var request = new sql.Request(_connection);
request.verbose = true;
request.input('username', 'patriksimek');
request.input('password', 'delete from dbo.Users where userId =1');
request.input('attempts', 2);
request.execute('my_stored_procedure');
})
在此先感謝
發佈您的代碼來生成並執行SQL命令。你使用字符串連接還是參數? – Dai
使用預準備語句。 'var ps = new sql.PreparedStatement(connection)' –
@Dai ,,我更新了上面的代碼。 –