类型规范查询构建器SELECT、ORDER BY、GROUP BY SQL注入安全吗?

qjp7pelc  于 2022-10-15  发布在  PostgreSQL
关注(0)|答案(1)|浏览(119)

如果TypeORM查询构建器SELECT、orderBy和groupBy不是SQL注入安全的,如何将它们转换为SQL注入安全的?

qb.orderBy(
      `incident.${query.sortColum}`,
      query.sortOrder === 'desc' ? DESCENDING : ASCENDING,
    );

qb.select([
  `incident.${query.type}`,
  `COUNT('') As "count"`,
  `"incident"."locationGroupIds"[${level}] as groupId`,
]);

qb.addGroupBy(`incident.${query.type}`);
postgresql

1条答案

按热度按时间
8mmmxcuj

8mmmxcuj1#

这些元素不能绑定到JDBC中,这就是为什么TypeORM不支持将它们作为参数化查询。
有两个选项可以安全地完成此操作-理想情况下,您应该同时使用这两个选项:

  • 通过肯定/白名单验证来验证这些列。应该检查每个列名是否存在于关联表中。
  • 您应该将列名加到引号中-在列两边添加单引号。如果这样做,您需要小心验证名称中没有引号,并错误地删除或转义任何引号。您还需要注意,添加引号会使名称区分大小写。
赞(0)分享  回复(0)举报  2022-10-15
我来回答

相关问题

    查看更多

    热门标签

    更多
    JavaquerypythonNode开发语言requestUtil数据库Table后端算法LoggerMessageElementParser

    最新问答

    更多
    • 蜀ICP备13028337号-1 大数据知识库 https://www.saoniuhuo.com © All rights reserved
    • 本站内容来源互联网,如果侵犯您的权益请联系我们删除, 联系方式:448109455@qq.com