Sequelize:在文字字符串中轉義字符串
[英]Sequelize: escape string in a literal string
問題描述
我可以在 Sequelize 中使用literal來手動構建 SQL 查詢部分:
sequelize.literal(`"foo".bar ILIKE '%baz%'`)
但是如果我想在這個文字塊中添加一個var,我現在介紹SQL注入漏洞:
sequelize.literal(`"foo".name ILIKE '%${myVar}%'`)
是否有一種 Sequelize 方法來保護文字塊中的變量?
3 個解決方案
解決方案1
6 已采納 2019-11-12 16:58:10
你可以使用escape :
const escapedSearch = sequelize.escape(`%${myVar}%`);
sequelize.literal(`"foo".name ILIKE ${escapedSearch}`);
參見: https://sequelize.org/master/class/lib/sequelize.js~Sequelize.html#instance-method-escape
解決方案2
1 2019-10-29 11:05:08
您可以使用replacements和? 避免 sql 注射:
sequelize.query(`"foo".name ILIKE '%?%'`,
{ replacements: [myVar], type: sequelize.QueryTypes.SELECT }
)
解決方案3
0 2019-10-29 11:01:47
嘗試
description = {
$like: sequelize.literal(`${myVar} ESCAPE '\\'`)
};
如何轉義字符串以確保它是JS源中的有效字符串文字?
[英]How can I escape a string to ensure that it is a valid string literal in JS source?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.