既然 node.js 是基于 javascript 的,又因为 javascript 是高度动态的语言,那是不是意味着服务器端的代码注入比 java 或 asp.net 更危险?
问问题
1084 次
2 回答
3
任何允许您轻松地将字符串评估为一行代码的语言都存在固有的安全风险。在这方面,NodeJS 并不比用 Javascript 或 PHP 编写的任何东西差。
即使您使用 Java 或 ASP 编写代码,如果不小心,天真的 Web 程序员仍可能遭受 SQL 注入攻击,而代码注入只是应用程序可能受到损害的一种方式。
关键是仔细过滤来自用户的任何输入,并在使用 eval 或编写自修改代码之前仔细考虑。
于 2012-05-01T15:33:07.050 回答
0
无论技术选择如何,您都需要在服务器端代码中验证用户输入。
对于 node.js,有一些库可以帮助您执行此操作,例如node-validator https://github.com/chriso/node-validator
于 2012-05-01T22:28:05.910 回答