Node常见的安全处理方法有哪些


这篇文章主要介绍“Node常见的安全处理方法有哪些”,在日常操作中,相信很多人在Node常见的安全处理方法有哪些问题上存在疑惑,小编查阅了各式资料,整理出简单好用的操作方法,希望对大家解答”Node常见的安全处理方法有哪些”的疑惑有所帮助!接下来,请跟着小编一起来学习吧! 1、 sql注入这是一个最原始也最简单的攻击, 从 web2.0 开始有了人机交互后就出现的一种攻击方式其主要是通过输入 sql 片段, 最终拼接成一段攻击的 sql 代码当我们使用 node 连接到数据库的时候, 通常会在 node 端写 sql 语句来进行数据库查询, 例如下方

--这是一个简易的登录判断sql语句,输入username和password在users表中进行用户登录验证,然后获取用户的地址和年龄
selectaddress,agefromuserswhereusername=${username}andpassword=${password}

但是如果我在 username 中做点手脚 使他传入的是一个sql语句这样就极其的危险 【相关教程推荐:nodejs视频教程、编程教学】

--username输入为ali--
--上面这段sql就会被解析成这样
selectaddress,agefromuserswhereusername=ali--andpassword=${password}

看上面的代码片段可以发现, -- 在sql中是属于注释的存在, 所以如果当我在 sql 查询动态获取用户输入的 username 字段中, 如果结尾是 — 就会把后面password免费云主机域名的条件验证去掉也就是代表用户无论输入什么 password, 只要 username 字段在数据库中存在就可以拿到对应的信息当然攻击者也可以在后面继续拼接删库的 sql 语句,这其实是更加危险的

--username输入为ali;deletefromuserswhereusername="ali"--
--就会拼接成下面这种语句这是极其危险的
selectaddress,agefromuserswhereusername=ali;deletefromuserswhereusername="ali"--andpassword=${password}

在 node 开发中连接数据库, 拼接sql语句是使用 mysql 这个npm包, 所以在这个包中也有对应 sql注入 攻击的处理函数可以使用 mysql.escape函数 , 对所有来源于前端的数据进行包裹一层, 这个函数会把 -- 或者其他的特殊字符进行转义,这样就不会出现在sql语句中会有注释的情况2、xss 攻击这个攻击我们作为前端应该是很熟悉的了其攻击方式就是在页面的展示内中掺杂 Js 的代码以获取网页信息在我们开发 Node 服务端的时候, 对前端传来的数据统统处理一下就行了 ,也就是进行特殊字符转义 (所有的转义字符后都需要 加上;这个特殊符号 由于无法演示 我截图的时候去掉了开发 Node 服务端,使用 xss 这个npm包,把前端传入的数据都使用这个包裹一下就行。3、密码加密假如我们数据库被入侵, 其中最不应该泄露的就是用的信息了,因为攻击者可以拿着用户的账户密码去尝试登录其他的系统。这个就需要在数据库不用明文存储用户的密码信息, 在存入数据库之前把密码通过自定义 key 加密一下, 当然这个 key 需要你自己独享 不能泄露,或者通过其他密码算法加密也是可以的。到此,关于“Node常见的安全处理方法有哪些”的学习就结束了,希望能够解决大家的疑惑。理论与实践的搭配能更好的帮助大家学习,快去试试吧!若想继续学习更多相关知识,请继续关注百云主机网站,小编会继续努力为大家带来更多实用的文章!

相关推荐: 怎么安装并管理多版本node

这篇文章主要介绍“怎么安装并管理多版本node”,在日常操作中,相信很多人在怎么安装并管理多版本node问题上存在疑惑,小编查阅了各式资料,整理出简单好用的操作方法,希望对大家解答”怎么安装并管理多版本node”的疑惑有所帮助!接下来,请跟着小编一起来学习吧!…

免责声明:本站发布的图片视频文字,以转载和分享为主,文章观点不代表本站立场,本站不承担相关法律责任;如果涉及侵权请联系邮箱:360163164@qq.com举报,并提供相关证据,经查实将立刻删除涉嫌侵权内容。

Like (0)
Donate 微信扫一扫 微信扫一扫
Previous 05/10 19:29
Next 05/10 19:29

相关推荐