javascript - 在节点项目中通过 sequelize 搜索所有潜在的 SQL 注入
问题描述
我见过一个遗留项目,它可以通过 Sequelize 原始查询进行 SQL 注入。为了识别潜在的嫌疑人,我在整个项目中搜索了:
.query
(来源:https ://sequelize.org/v5/manual/raw-queries.html ).literal
(来源:https ://sequelize.org/v5/class/lib/sequelize.js~Sequelize.html#static-method-literal )
query
除了使用andliteral
方法之外,还有其他方法可以通过 sequelize 运行 SQL 注入吗?
解决方案
Sequelize.fn
如果我们有这样的事情也可能很危险:
Sequelize.fn('EXECUTE_FN', 'DROP TABLE sometable;')
推荐阅读
- c# - 为什么我的 OnSelectedIndexChanged 没有触发?
- gcc - GCC 中 -x 标志的输入和输出“语言”是什么意思?
- python - Flask 上的 Keras 有状态 LSTM 推理
- apache-kafka - KSQL 流返回不正确的纪元转换
- java - joda-time ISODateTimeFormat.dateTime() 行为不端
- c - 仅允许使用字母、连字符和撇号的功能
- c++ - 二叉搜索树复制构造函数 | C++
- java - 将文件读入多个对象的arraylist java
- php - 如何修复未定义索引 PHP 错误消息,该错误消息可以正常工作,但在没有用户登录时出错?
- excel - 需要创建目标范围不在固定位置的数组公式