0

我正在使用 MySQL 数据库在 Node/JavaScript 中开发 API。我认为这是一个与 Node/JavaScript 无关的问题,只是 SQL,但我不确定。

这里我有一个最小的例子。假设我有一个创建用户的存储过程:

DROP PROCEDURE IF EXISTS users_create;
CREATE PROCEDURE users_create(
  IN user JSON
)
BEGIN
  -- Retrieve values from JSON
  SET @name = JSON_EXTRACT(user, '$.name');
  SET @email = JSON_EXTRACT(user, '$.email');
  SET @password = JSON_EXTRACT(user, '$.password');
  SET @uuid = uuid();

  -- Insert new user
  INSERT INTO user (`id`, `name`, `email`, `password`) VALUES (
    @uuid,
    JSON_UNQUOTE(@name),
    JSON_UNQUOTE(@email),
    JSON_UNQUOTE(@password)
  );

  -- Retrieve created user
  SELECT `id`, `name`, `email`, `status`, `createdAt` FROM user
  WHERE id = @uuid;

END

现在我有了一个新的用户对象——Javascript——:

const newUser = {
  name: "This is me",
  email: "me@example.com",
  password: "strong_password",
}

我称之为程序:

const createUserQuery = `CALL users_create('${JSON.stringify(newUser)}')`;

我的问题是:鉴于我正在使用 JSON 来传递数据,并且我正在使用JSON_EXTRACTand JSON_UNQUOTE,我是否容易在这里进行 SQL 注入?

4

1 回答 1

1

不,您不容易受到 SQL 注入的影响。您可能对代码有其他问题。如果——比如说——密码没有加密,你的代码可能是不安全的。

但是,唯一会运行的 SQL 代码是存储过程中的 SQL。

SQL 注入与动态SQL 相关联。那是从字符串构造的 SQL。SQL 注入帐户会更改(“增强”?)字符串以执行危险操作。您的代码只是在insert. 这些可能是错误的,但它们不会导致任何其他语句运行。

于 2020-06-26T10:30:54.100 回答