Проверка в экспрессе Rest Apis

Question

Проверка в экспрессе Rest Apis

0

Я сохраняю значение регистрации в базе данных с помощью expressjs в Rest api, но как я могу оценить мои поля (имя, адрес электронной почты, пароль), поэтому, если я сохраню данные без ошибок, тогда сообщение об ошибке, связанном с полем, должно показать. Вот мой код

var mysql = require('mysql');
    var con = mysql.createConnection({
     host: "localhost",
      user: "root",
      password: "",
      database: "mydb"
    });

    var toTime = new Date();

      con.connect(function(err) {
      if (err) throw err;
      console.log("Connected!");
      var sql = "INSERT INTO users (name, email,password) VALUES ('"+req.body.name+"','"+req.body.email+"','"+req.body.password+"')";
      con.query(sql, function (err, result) {
        if (err) throw err;
        console.log("1 record inserted");
         });
    });

Mehak Chawla 03 авг. 2018, в 13:33

Источник

0

В качестве примечания: вы чрезвычайно открыты для внедрения SQL с использованием таких непараметрических запросов.
Jay Gould 03 авг. 2018, в 11:09
0

@JayGould: не понимаю вашу точку зрения, пожалуйста, объясните
Mehak Chawla 03 авг. 2018, в 11:15
0

"+req.body.name+" Что если кто-то body.name оператор SQL в body.name из текущего оператора и введет свой собственный SQL? Подробнее об этом читайте здесь: w3schools.com/sql/sql_injection.asp
Jay Gould 03 авг. 2018, в 11:19
0

@JayGoulud: понимаю вашу точку зрения, я изменю свой код, но какое решение для этого?
Mehak Chawla 03 авг. 2018, в 11:49
0

Вы должны проверить параметры перед отправкой их на сервер SQL. Также, как предполагается, эта проверка должна проверять наличие инъекционных атак.
gottlieb76 03 авг. 2018, в 12:03

Показать ещё 3 комментария

Теги:

mysql

node.js

express

1 ответ

Ещё вопросы

В качестве примечания: вы чрезвычайно открыты для внедрения SQL с использованием таких непараметрических запросов.
@JayGould: не понимаю вашу точку зрения, пожалуйста, объясните
"+req.body.name+" Что если кто-то body.name оператор SQL в body.name из текущего оператора и введет свой собственный SQL? Подробнее об этом читайте здесь: w3schools.com/sql/sql_injection.asp
@JayGoulud: понимаю вашу точку зрения, я изменю свой код, но какое решение для этого?
Вы должны проверить параметры перед отправкой их на сервер SQL. Также, как предполагается, эта проверка должна проверять наличие инъекционных атак.

Aritra Chakraborty · Answer 1 · 2018-08-03T09-48-00.000Z

Первое примечание: вы код подвержен SQL-инъекции. См. Этот вопрос SO

Теперь вы можете просто сделать функцию проверки, которая возвращает boolean и использовать его перед запросом, например

function validateFunc(...params){
    return params.reduce((p,c)=> p && (c !== null && c !== undefined), true);
}

И используйте его, как,

if(!validateFunc(req.body.name, req.body.email, req.body.password)){
    // throw some error 
}
var sql = "INSERT INTO users (name, email,password) VALUES ('"+req.body.name+"','"+req.body.email+"','"+req.body.password+"')";