На сколько безопасен sql запрос с подстановкой в него данных без обработки с клиента?

Question

Boris007 @Boris007

SQL

На сколько безопасен sql запрос с подстановкой в него данных без обработки с клиента?

Во многих примерах данных просто вставляются в запрос
Но разве так нельзя прокинуть команду ;DROP и выполнить инъекцию?

const user_name= req.body.username 
const user_password = req.body.user_password
const query = `INSERT INTO users (user_name, user_password) VALUES ('${user_name}', '${user_password}')`

pgPool.query(query)

Вопрос задан более года назад
79 просмотров

6 комментариев

Подписаться 2 Простой 6 комментариев

Kentavr16 @Kentavr16

Так просто используйте подготовленные выражения и все.

Написано более года назад
Boris007 @Boris007 Автор вопроса

Kentavr16, где можно найти пример с использованием node + psql?
Про это практический нет инфы
https://www.npmjs.com/package/pg

Написано более года назад
Kentavr16 @Kentavr16
Boris007, не смешно ) В данном примере ты вроде используешь библиотеку pg. Идешь в оффдоки, читаешь. Там вот пример

const text = 'INSERT INTO users(name, email) VALUES($1, $2) RETURNING *' const values = ['brianc', 'brian.m.carlson@gmail.com'] const res = await client.query(text, values) console.log(res.rows[0]) // { name: 'brianc', email: 'brian.m.carlson@gmail.com' }

итого потрачено времени около 30 секунд. Я кстати тоже задавал такой же вопрос на сервере, но мне просто ткнули в подготовленные выражения - этого достаточно
Написано более года назад
Boris007 @Boris007 Автор вопроса

Kentavr16, спасибо, я почему-то думал, что доллар это удобная вставка, а не подготовленный запрос )

Написано более года назад
Kentavr16 @Kentavr16

Boris007, это два в одном выходит) Очень часто все вопросы в оффдоках.

Написано более года назад
Boris007 @Boris007 Автор вопроса

Kentavr16, напиши это в ответ, пожалуйста, отмечу

Написано более года назад

Решения вопроса 2

2 комментария

Комментировать

Пригласить эксперта

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы

SQL

+1 ещё

Простой
Фильтрация характеристик товаров с подсчетом?
- 1 подписчик
- 20 нояб.
- 70 просмотров
1

ответ
SQL

Простой
Что такое RAND("totally_not_random") в SQL?
- 1 подписчик
- 18 нояб.
- 56 просмотров
2

ответа
SQL

+1 ещё

Простой
Когда каскадное обновление это плохо?
- 1 подписчик
- 11 нояб.
- 109 просмотров
4

ответа
Python

+1 ещё

Простой
Почему не работает создание триггера в Sqlite3?
- 1 подписчик
- 02 нояб.
- 105 просмотров
1

ответ
PHP

+2 ещё

Простой
Как избежать race condition при вставки новой записи в бд SQL, PHP?
- 1 подписчик
- 31 окт.
- 185 просмотров
2

ответа
SQL

Простой
Есть ли что то наподобие hackerrank sql с ответами?
- 2 подписчика
- 15 окт.
- 129 просмотров
1

ответ
SQL

+1 ещё

Простой
Как взять максимальный квартал в каждом году?
- 2 подписчика
- 15 окт.
- 169 просмотров
1

ответ
SQL

+1 ещё

Средний
Как сформировать отчёт с записями чей интервал не попадет в условие отбора?
- 2 подписчика
- 14 окт.
- 208 просмотров
1

ответ
SQL

Простой
Где ошибка в SQL запросе к полю содержащему XML?
- 2 подписчика
- 10 окт.
- 119 просмотров
2

ответа
SQL

+2 ещё

Средний
Что съело место на DPM сервере?
- 1 подписчик
- 09 окт.
- 119 просмотров
1

ответ
Показать ещё Загружается…

Разработчик Oracle PL/SQL

Сургутнефтегазбанк • Тюмень

от 100 000 ₽

Разработчик sql

РашенСофт

от 80 000 до 150 000 ₽

Аналитик SQL в Индию

Wanted. • Москва

До 3 000 $

Развернуть OpenSource софт на сервере

23 нояб. 2024, в 17:32

5000 руб./за проект

Отрисовать дизайн веб-страницы генерации математических примеров

23 нояб. 2024, в 16:00

10000 руб./за проект

Сделать бот программу для браузерной игры

23 нояб. 2024, в 15:17

5000 руб./за проект

Так просто используйте подготовленные выражения и все.
Kentavr16, где можно найти пример с использованием node + psql?
Про это практический нет инфы
https://www.npmjs.com/package/pg
Boris007, не смешно ) В данном примере ты вроде используешь библиотеку pg. Идешь в оффдоки, читаешь. Там вот пример

const text = 'INSERT INTO users(name, email) VALUES($1, $2) RETURNING *' const values = ['brianc', 'brian.m.carlson@gmail.com'] const res = await client.query(text, values) console.log(res.rows[0]) // { name: 'brianc', email: 'brian.m.carlson@gmail.com' }

итого потрачено времени около 30 секунд. Я кстати тоже задавал такой же вопрос на сервере, но мне просто ткнули в подготовленные выражения - этого достаточно
Kentavr16, спасибо, я почему-то думал, что доллар это удобная вставка, а не подготовленный запрос )
Boris007, это два в одном выходит) Очень часто все вопросы в оффдоках.
Kentavr16, напиши это в ответ, пожалуйста, отмечу

Answer 1 · 2023-10-25 13:09:33

Можно прокинуть что угодно, следовательно так делать не безопасно. Чтобы избежать инъекций, используйте подготовленные выражения

Answer 2 · 2023-10-25 13:08:17

Петр @petermzg

Самый лучший программист

Примерно так.

INSERT INTO users (user_name, user_password) VALUES ('' + (select user_password from users where  user_name = "admin") + '',  '${user_password}')

Ответ написан более года назад

Комментировать

На сколько безопасен sql запрос с подстановкой в него данных без обработки с клиента?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт