sequelize.query() 原生查询使用replacements 参数能防sql注入吗?
发布于 6 年前 作者 zurmokeeper 3294 次浏览 来自 问答

sequelize.query() 原生查询使用replacements 参数能防sql注入吗?

sequelize.query('SELECT * FROM projects WHERE status = ?',
  { replacements: ['active'], type: sequelize.QueryTypes.SELECT }
).then(projects => {
  console.log(projects)
})

像这里的status的值的查询?

3 回复

本人用sqlmap工具测试过,是可以防Sql注入的。欢迎大家的补充。

还是走mysql的预编译好,防注入,而且后续同类型的sql还省去了部分编译过程,以致后续同类型sql执行速度也会快一些

@zy445566 因为项目已经是采用了sequelize这个中间件了,所以只能对症下药了。

回到顶部