预防sql注入
sql注入
- 最原始、最简单的攻击,从有了web2.0就有了sql注入攻击
- 攻击方式:输入一个sql片段,最终拼接成一段攻击代码
- 预防措施:使用mysql的escape函数处理输入内容即可
例如登录,访问http://localhost:8080/login.html
正常情况下是输入正确的用户名和密码来进行登录,这个登录是根据传入的username和password参数拼接sql语句来实现的。
// src/controller/user.js
const login = ({ username, password }) => {
const sql = `
select username,realname from users where username='${username}' and password='${password}'
`;
return exec(sql).then((rows) => {
return rows[0] || {};
});
};
-- 拼接出来的语句
select username,realname from users where username='zhangsan' and password='123456';
因为username和password是传进去的,如果传进去的是(zhangsan'-- ),拼接语句就变成了
-- 拼接出来的语句
select username,realname from users where username='zhangsan'-- ' and password='123456';
在sql中 -- +空格是用来写注释语句的,可以看到上面的拼接语句密码处已经是无效的了。在登录页输入(zhangsan'-- )竟然可以登录成功,并且可以新建博客等操作。
如何预防?
在mysql.js文件中导出mysql的escape函数
const mysql = require("mysql");
const { MYSQL_CONF } = require("../conf/db");
...
module.exports = {
exec,
escape: mysql.escape,
};
然后在 src/controller/user.js使用该函数对参数进行处理,以及修改去掉拼接语句处的单引号
const { exec, escape } = require("../db/mysql");
const login = ({ username, password }) => {
username = escape(username);
password = escape(password);
const sql = `
select username,realname from users where username=${username} and password=${password}
`;
console.log("sql", sql);
return exec(sql).then((rows) => {
return rows[0] || {};
});
};
module.exports = {
login,
};
在登录页输入(zhangsan'-- )已经提示登录错误了,说明预防sql注入成功。通过escape函数后得到的拼接语句变成了
select username,realname from users where username='zhangsan\'-- ' and password='1'
('--) 被escape去掉特殊化,只当作普通字符串,被整体包裹起来而非起到注释作用。
XSS攻击
- 攻击方式:在页面展示内容中掺杂js代码,以获取网页信息
- 预防措施:转换生成js的特殊字符
& -> &
< -> <
> -> >
" -> "
' -> '
/ -> /
例如在新建博客页面中,在标题处输入以下文本
<script>alert(document.cookie)</script>
它会在创建成功后返回管理页面执行脚本,弹出获取到的信息。
安装工具:npm i xss --save,使用这个工具可以转换生成js的特殊字符
在controller->blog.js
const xss = require("xss");
const newBlog = (blogData = {}) => {
const title = xss(blogData.title);
const content = xss(blogData.content);
...
}
在新建博客页面中,在标题或内容处输入刚才的文本,可能会由于sql存储字符串长度限制报错,但是在控制台可以看到语句经过xss转义变成了不具有攻击能力的语句:
<script>alert(document.cookie)</script>
用户加密
- 万一数据库被用户攻破,最不应该泄漏的就是用户信息
- 攻击方式:获取用户名和密码,再去尝试登录其他系统
- 预防措施:将密码加密,即使拿到密码也不知道明文
在utils->crypt.js,通过node提供的crypto库编写加密函数
const crypto = require("crypto");
// 密钥
const SECRET_KEY = "WJiol_8776#";
// md5加密
function md5(content) {
let md5 = crypto.createHash("md5");
return md5.update(content).digest("hex");
}
// 加密函数
function genPassword(password) {
const str = `password=${password}&key=${SECRET_KEY}`;
return md5(str);
}
module.exports = {
genPassword,
};
md5加密生出来的字符串是32位长度,需要去修改数据库中password的长度。
通过genPassword('123')可以看到加密后的密码为524ab85686df0e52ada43b11b53cce35,为了方便登录验证,将数据库中密码为123的其中一位用户密码改为加密后的密码。
在controller->login.js中将接收到的password参数进行加密
const { exec, escape } = require("../db/mysql");
const { genPassword } = require("../utils/crypt");
const login = ({ username, password }) => {
username = escape(username);
// 生成加密密码
password = genPassword(password);
password = escape(password);
const sql = `
select username,realname from users where username=${username} and password=${password}`;
return exec(sql).then((rows) => {
return rows[0] || {};
});
};
module.exports = {
login,
};
分别验证被加密以及未加密的用户登录。
标签:Node,username,const,Express,escape,js,sql,password From: https://www.cnblogs.com/Small-Windmill/p/18012470