javascript - 如何将输入值传递给 Cypher 查询?
问题描述
我正在运行 nodejs 并从 ejs 页面,我试图将输入值发送到 Cypher 查询中,这将导致图形的 vis.js 显示。 注意:所有 javascript 操作都发生在 ejs 页面上,在这种情况下没有服务器联系。
在运行查询时,我可以毫无问题地渲染 Neo4j 图,而无需尝试添加输入值。
这有效单击此按钮...
<input type="submit" onclick="displayGraph()" value='Display Graph' class="button">
...运行此函数,其中包括 Cypher 查询(此查询中没有输入)并按预期呈现 Neo4j 图。
function displayGraph() {
// Create the authorization header for the ajax request.
AUTHORIZATION = "Basic " + btoa("abc"+":"+"123");
// Post Cypher query to return node and relations and return results as graph.
restPost({
"statements": [
{
"statement": `MATCH (bry:Brewery)-[r:BREWS]->(b:Beer {name: 'Pliny the Elder'})-[r2:IS_A]->(bt:BeerType)
Optional Match (b)-[r3:BREWED_WITH]->(h:Hop)
Return bry,r,b,r2,bt,r3,h`,
"resultDataContents": ["graph"]
}
]
}).done(function (data) {
// Parse results and convert it to vis.js compatible data.
var graphData = parseGraphResultData(data);
var nodes = convertNodes(graphData.nodes);
var edges = convertEdges(graphData.edges);
var visData = {
nodes: nodes,
edges: edges
};
displayVisJsData(visData);
});
}
如果我使用输入字段来捕获啤酒的名称,这将不起作用......
<label>
Beer Name:<input name="inputbeer" id="inputbeer" type="text">
</label>
...然后单击相同的按钮...
<input type="submit" onclick="displayGraph()" value='Display Graph' class="button">
...我运行了类似的函数,但尝试了多种将输入值传递给 Cypher 查询的变体(一切都与上面看到的函数相同,只是修改了 Cypher 查询)...
MATCH (bry:Brewery)-[r:BREWS]->(b:Beer {name: '$inputbeer'})-[r2:IS_A]->(bt:BeerType)
Optional Match (b)-[r3:BREWED_WITH]->(h:Hop)
Return bry,r,b,r2,bt,r3,h
...这个和其他变体不起作用。我试过 {name: {inputbeer}}... {name: {$inputbeer}}... {name: $inputbeer}... 有很多可能性。我猜这是一个简单的格式问题,但我不知所措。
感谢您的任何帮助!
解决方案
您正在尝试使用Javascript 模板文字。您正在寻找的语法是
const injectedString = 'containing a variable';
const templateString = `This is a string ${injectedString}`;
console.log(templateString);
//logs "This is a string containing a variable";
然而,
不要那样做
'aBeerName'}) DETACH DELETE bry //
这使您容易受到注入攻击,例如for的输入值inputthebeer
将删除多个节点
使用参数
如果您使用的是 REST API
用于params
传递参数,让 Neo4j 安全地逃逸并注入到查询中。
{
"query" : "MATCH (bry:Brewery)-[r:BREWS]->(b:Beer {name: {inputthebeer}})-[r2:IS_A]->(bt:BeerType) Return bry,r,b,r2,bt,r3,h",
"params" : {
"inputthebeer" : "aBeerName",
}
}
目前尚不清楚您的restPost()
工作方式,但请参阅REST API 文档以获取示例。重要的部分是您的查询字符串应该包含{name: {inputthebeer}}
并且应该inputthebeer
作为参数添加。
使用 Javascript 驱动程序
更好的解决方案可能是使用Neo4j Javascript Driver。
安装它npm
npm install neo4j-driver
或者,如果您不使用 npm 或捆绑您的源代码,请将其包含在您的 HTML 中
<script src="https://unpkg.com/neo4j-driver@X.Y.Z/lib/browser/neo4j-web.min.js"></script>
您需要初始化驱动程序并打开一个会话,然后
session
.run(
'MATCH (bry:Brewery)-[r:BREWS]->(b:Beer {name: $inputthebeer})-[r2:IS_A]->bt:BeerType) Return bry,r,b,r2,bt,r3,h',
{
inputthebeer: 'aBeerName'
}
)
在此示例中要注意的重要一点是,这不是Javascript 模板文字。值$inputthebeer
在字符串中,驱动程序正在传递参数,Neo4j 安全地转义变量(防止注入攻击)
警告
看起来 Neo4j REST API 可能会公开 - 如果是这种情况,上面的注入攻击可能没有实际意义,因为攻击者可以通过直接向 REST API 发送请求来直接执行任何查询
推荐阅读
- crystal-reports - 如何编辑水晶报表“显示 SQL 查询”?
- php - Laravel 函数无法访问 AJAX 数据
- python - 是否可以将内置表中的静态 Python 模块用作 Python 包的子模块?
- c# - 使用 LINQ 在 2 个列表之间选择匹配结果
- arrays - Lua - 由向量索引的数组
- javascript - 故意在 Javascript 中创建新错误以检查代码行为
- javascript - 如何使用 JavaScript 将用户输入时间数据(分钟和秒)附加到数组中?
- simulink - 如何将模拟速度慢到秒级实时通过?
- ios - 创建具有不同起点和终点的多个渐变视图的最佳方法是什么
- mysql - 我无法连接新版本的 vscode 和新版本的 mysql