Red de conocimiento informático - Aprendizaje de programación - Utilice el sistema de escape para resolver la inyección de SQL en Node.js

Utilice el sistema de escape para resolver la inyección de SQL en Node.js

En este momento, se puede encontrar un dato en circunstancias normales. Si el parámetro se modifica a

Set param = 'ns '-';

La declaración SQL se convierte en

select * from tb_nature donde naturaleza = " ns " - " y del _ status = 1

El siguiente del_status será comentado por - en el parámetro y no tendrá ningún efecto. Se pueden consultar varios datos.

Si el parámetro se ajusta mediante escape. Puede escapar los caracteres especiales en los parámetros para evitar la inyección de SQL.

Establezca sql = 'select * from tb_nature donde naturaleza = ' + mysql.escape(param) +' y. del_estado.=1';