Knex.js 会阻止 sql 注入吗？

Posted 2023-02-24

【中文标题】Knex.js 会阻止 sql 注入吗？

【英文标题】：Does Knex.js prevent sql injection?

【发布时间】：2018-09-14 20:13:45

【问题描述】：

我正在使用 mysql 数据库，并试图找到一个 MySQL 替代 tedious.js（一个 SQL 服务器参数化查询构建器）。我正在使用 Node.js 作为我的后端。

我读到 knex.js 中的 .raw() 命令很容易受到 sql 注入的影响，如果不与绑定一起使用的话。 但是其他命令和 knex.js 作为一个整体是否可以安全地用于防止 sql 注入？还是我找错树了？

【参考方案1】：

仔细阅读 knex 文档如何将值传递给 knex raw (http://knexjs.org/#Raw)。

如果您将值作为参数绑定传递给原始数据，例如：

knex.raw('select * from foo where id = ?', [1])

在这种情况下，参数和查询字符串分别传递给数据库驱动程序，以保护查询免受 SQL 注入。

其他查询构建器方法始终在内部使用绑定格式，因此它们也很安全。

要查看某个查询是如何传递给数据库驱动程序的：

knex('foo').where('id', 1).toSQL().toNative()

这将输出 SQL 字符串和提供给驱动程序以运行查询的绑定 (https://runkit.com/embed/2yhqebv6pte6)。

使用 knex 原始查询的最大错误是使用 javascript 模板字符串并将变量直接插入 SQL 字符串格式，例如：

knex.raw(`select * from foo where id = $id`) // NEVER DO THIS 

需要注意的一点是，knex 表/标识符名称不能作为绑定传递给驱动程序，因此应该格外小心，不要从用户那里读取表/列名称并在没有先正确验证它们的情况下使用它们。

编辑：

通过说标识符名称不能作为绑定传递，我的意思是当使用?? knex -绑定作为标识符名称时，它会在传递给数据库驱动程序时作为 SQL 字符串的一部分呈现。

【讨论】：

感谢您的快速回复。这帮助很大！

@mikael-lepistö 我能够使用表/标识符名称作为?? 语法的绑定。有趣的事实是，我通过找到你打开的关于它的问题了解了语法github.com/tgriesser/knex/issues/1003

@PhilippeHebert 我认为通过 Knex Ref API 最容易访问：knexjs.org/#Ref

那么下面的也是受保护的吧？ knex('table').where('description', 'like', '%$term%') 。出于某种原因，***.com/questions/50327070/… 另有说法，他们指的是您的回答。

@JoelH 我认为不可能阻止这种情况（这是一个 javascript 功能）。例如，如果您正在生成 SQL 字符串，它们会很有用。