На сколько безопасен sql запрос с подстановкой в него данных без обработки с клиента?

Question

Boris007 @Boris007

SQL

На сколько безопасен sql запрос с подстановкой в него данных без обработки с клиента?

Во многих примерах данных просто вставляются в запрос
Но разве так нельзя прокинуть команду ;DROP и выполнить инъекцию?

const user_name= req.body.username 
const user_password = req.body.user_password
const query = `INSERT INTO users (user_name, user_password) VALUES ('${user_name}', '${user_password}')`

pgPool.query(query)

Вопрос задан 25 окт. 2023
79 просмотров

6 комментариев

Подписаться 2 Простой 6 комментариев

Kentavr16 @Kentavr16

Так просто используйте подготовленные выражения и все.

Написано 25 окт. 2023
Boris007 @Boris007 Автор вопроса

Kentavr16, где можно найти пример с использованием node + psql?
Про это практический нет инфы
https://www.npmjs.com/package/pg

Написано 25 окт. 2023
Kentavr16 @Kentavr16
Boris007, не смешно ) В данном примере ты вроде используешь библиотеку pg. Идешь в оффдоки, читаешь. Там вот пример

const text = 'INSERT INTO users(name, email) VALUES($1, $2) RETURNING *' const values = ['brianc', 'brian.m.carlson@gmail.com'] const res = await client.query(text, values) console.log(res.rows[0]) // { name: 'brianc', email: 'brian.m.carlson@gmail.com' }

итого потрачено времени около 30 секунд. Я кстати тоже задавал такой же вопрос на сервере, но мне просто ткнули в подготовленные выражения - этого достаточно
Написано 25 окт. 2023
Boris007 @Boris007 Автор вопроса

Kentavr16, спасибо, я почему-то думал, что доллар это удобная вставка, а не подготовленный запрос )

Написано 25 окт. 2023
Kentavr16 @Kentavr16

Boris007, это два в одном выходит) Очень часто все вопросы в оффдоках.

Написано 25 окт. 2023
Boris007 @Boris007 Автор вопроса

Kentavr16, напиши это в ответ, пожалуйста, отмечу

Написано 25 окт. 2023

Решения вопроса 2

2 комментария

Комментировать

Пригласить эксперта

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

MySQL

+2 ещё

Средний
Как запросить по 2 записи из каждой категории с лучшим рейтингом?
- 1 подписчик
- 5 часов назад
- 25 просмотров
1

ответ
SQL

Простой
Как удалить записи с базы используя limit?
- 1 подписчик
- 11 часов назад
- 55 просмотров
1

ответ
SQL

Простой
Как преобразовать UNION-запрос в простой?
- 1 подписчик
- вчера
- 96 просмотров
1

ответ
SQL

+1 ещё

Простой
Какую бд лучше выбрать?
- 1 подписчик
- 29 апр.
- 77 просмотров
1

ответ
PHP

+1 ещё

Простой
Где ошибка в коде при создании древа в sql из файла?
- 2 подписчика
- 24 апр.
- 113 просмотров
0

ответов
MySQL

+1 ещё

Простой
Как извлечь топ 15 очков из таблицы чтобы игроки не дублировались?
- 1 подписчик
- 22 апр.
- 135 просмотров
1

ответ
PHP

+1 ещё

Простой
Как правильно сформировать запрос и вывести данные в цикле?
- 1 подписчик
- 10 апр.
- 134 просмотра
3

ответа
SQL

Простой
Как вывести колонку с определенной информацией sql?
- 1 подписчик
- 09 апр.
- 111 просмотров
1

ответ
SQL

Простой
Как вывести полученные данные из таблицы sql?
- 1 подписчик
- 09 апр.
- 86 просмотров
2

ответа
Python

+1 ещё

Простой
Как выполнять запросы в БД одновременно?
- 1 подписчик
- 04 апр.
- 196 просмотров
2

ответа
Показать ещё Загружается…

Тестировщик SQL

Bell Integrator • Санкт-Петербург

До 200 000 ₽

Программист SQL

АвтоАльянс • Москва

от 165 000 ₽

Программист SQL

САМО-Софт • Москва

До 220 000 ₽

Нужен человек с опытом работы с библиотекой SwiperJS

03 мая 2024, в 03:55

1000 руб./за проект

Скрипт для оценки ссылки через Virus Total

03 мая 2024, в 02:30

3000 руб./за проект

Переписать бота тг с питона на Go по ветке из гита

03 мая 2024, в 02:03

20000 руб./за проект

Так просто используйте подготовленные выражения и все.
Kentavr16, где можно найти пример с использованием node + psql?
Про это практический нет инфы
https://www.npmjs.com/package/pg
Boris007, не смешно ) В данном примере ты вроде используешь библиотеку pg. Идешь в оффдоки, читаешь. Там вот пример

const text = 'INSERT INTO users(name, email) VALUES($1, $2) RETURNING *' const values = ['brianc', 'brian.m.carlson@gmail.com'] const res = await client.query(text, values) console.log(res.rows[0]) // { name: 'brianc', email: 'brian.m.carlson@gmail.com' }

итого потрачено времени около 30 секунд. Я кстати тоже задавал такой же вопрос на сервере, но мне просто ткнули в подготовленные выражения - этого достаточно
Kentavr16, спасибо, я почему-то думал, что доллар это удобная вставка, а не подготовленный запрос )
Boris007, это два в одном выходит) Очень часто все вопросы в оффдоках.
Kentavr16, напиши это в ответ, пожалуйста, отмечу

Answer 1 · 2023-10-25 13:09:33

Можно прокинуть что угодно, следовательно так делать не безопасно. Чтобы избежать инъекций, используйте подготовленные выражения

Answer 2 · 2023-10-25 13:08:17

Петр @petermzg

Самый лучший программист

Примерно так.

INSERT INTO users (user_name, user_password) VALUES ('' + (select user_password from users where  user_name = "admin") + '',  '${user_password}')

Ответ написан 25 окт. 2023

Комментировать

На сколько безопасен sql запрос с подстановкой в него данных без обработки с клиента?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт