第七色在线视频,2021少妇久久久久久久久久,亚洲欧洲精品成人久久av18,亚洲国产精品特色大片观看完整版,孙宇晨将参加特朗普的晚宴

為了賬號(hào)安全,請(qǐng)及時(shí)綁定郵箱和手機(jī)立即綁定
已解決430363個(gè)問題,去搜搜看,總會(huì)有你想問的

express框架會(huì)過濾數(shù)據(jù)庫注入或者xss攻擊么

express框架會(huì)過濾數(shù)據(jù)庫注入或者xss攻擊么

aluckdog 2018-10-03 10:17:33
我直接把前臺(tái)傳來的json數(shù)據(jù)(req.body)存入mongod數(shù)據(jù)庫里面了,沒有對(duì)數(shù)據(jù)進(jìn)行惱人的過濾,代碼是這樣寫的app.post('/post', urlencodedParser, function (req, res) {                 db.myinsert(req.body, function (err,result) {               if(err)  { console.log('Error:'+ err);  return; }               console.log(req.body)             })         console.log(req.body); })請(qǐng)教,express框架對(duì)req.body進(jìn)行過濾了沒,這樣寫安全么
查看完整描述

1 回答

?
侃侃無極

TA貢獻(xiàn)2051條經(jīng)驗(yàn) 獲得超10個(gè)贊

數(shù)據(jù)庫注入

express好像沒有自帶數(shù)據(jù)庫組建吧?你應(yīng)該看看你用的db是哪個(gè)庫,里面有沒有對(duì)SQL的參數(shù)進(jìn)行轉(zhuǎn)義和過濾。

一般不手工拼SQL的話,一個(gè)合格的DB庫應(yīng)該是能避免SQL注入的。

xss攻擊

為了避免xss攻擊,輸入的過濾當(dāng)然也是一道關(guān),但是更重要的是輸出的時(shí)候不要把(潛在的)用戶輸入直接當(dāng)作HTML片段進(jìn)行輸出,而應(yīng)該轉(zhuǎn)義后再輸出。

如果非要用戶輸入富文本(HTML片段之類的),則應(yīng)該用比較安全的方式,比如使用UBB代碼來代替HTML代碼。而用戶非要輸入HTML代碼的時(shí)候,則應(yīng)該要通過htmlpurifier這樣的輸入過濾工具過濾掉潛在的xss代碼。


查看完整回答
反對(duì) 回復(fù) 2018-11-29
  • 1 回答
  • 0 關(guān)注
  • 840 瀏覽
慕課專欄
更多

添加回答

舉報(bào)

0/150
提交
取消
微信客服

購課補(bǔ)貼
聯(lián)系客服咨詢優(yōu)惠詳情

 幫助反饋 APP下載

慕課網(wǎng)APP
您的移動(dòng)學(xué)習(xí)伙伴

 公眾號(hào)

掃描二維碼
關(guān)注慕課網(wǎng)微信公眾號(hào)