本篇文章帶大家聊聊Node常見的三種安全防范手段,主要講解在開發Node服務端的時候, 三種關于安全方面的處理。
(資料圖片)
1、 sql注入
這是一個最原始也最簡單的攻擊, 從 web2.0 開始有了人機交互后就出現的一種攻擊方式
當我們使用 node 連接到數據庫的時候, 通常會在 node 端寫 sql語句來進行數據庫查詢, 例如下方
-- 這是一個簡易的登錄判斷sql語句, 輸入 username 和 password 在 users 表中進行用戶登錄驗證, 然后獲取用戶的地址和年齡select address, age from users where username=${username} and password=${password}但是如果我在 username 中做點手腳使他傳入的是一個sql語句這樣就極其的危險 【相關教程推薦:nodejs視頻教程、編程教學】
-- username 輸入為 ali -- -- 上面這段 sql 就會被解析成這樣 select address, age from users where username=ali -- and password=${password}看上面的代碼片段可以發現, -- 在sql中是屬于注釋的存在, 所以如果當我在 sql 查詢動態獲取用戶輸入的 username 字段中, 如果結尾是 -- 就會把后面password的條件驗證去掉
也就是代表用戶無論輸入什么 password, 只要 username 字段在數據庫中存在就可以拿到對應的信息
當然攻擊者也可以在后面繼續拼接刪庫的 sql 語句,這其實是更加危險的
-- username 輸入為 ali; delete from users where username="ali" ---- 就會拼接成下面這種語句 這是極其危險的select address, age from users where username=ali; delete from users where username="ali" -- and password=${password}在 node 開發中連接數據庫, 拼接sql語句是使用 mysql 這個npm包, 所以在這個包中也有對應 sql注入 攻擊的處理函數
可以使用 mysql.escape函數, 對所有來源于前端的數據進行包裹一層, 這個函數會把 -- 或者其他的特殊字符進行轉義,這樣就不會出現在sql語句中會有注釋的情況
2、xss 攻擊
這個攻擊我們作為前端應該是很熟悉的了
其攻擊方式就是在頁面的展示內中摻雜 Js 的代碼以獲取網頁信息
在我們開發 Node 服務端的時候, 對前端傳來的數據統統處理一下就行了 ,也就是進行特殊字符轉義 (所有的轉義字符后都需要 加上;這個特殊符號 由于無法演示 我截圖的時候去掉了
開發 Node 服務端,使用 xss 這個npm包,把前端傳入的數據都使用這個包裹一下就行
3、密碼加密
假如我們數據庫被入侵, 其中最不應該泄露的就是用的信息了
因為攻擊者可以拿著用戶的賬戶密碼去嘗試登錄其他的系統
這個就需要在數據庫不用明文存儲用戶的密碼信息, 在存入數據庫之前把密碼通過自定義 key 加密一下, 當然這個 key 需要你自己獨享 不能泄露
或者通過其他密碼算法加密也是可以的
最近也是在學習 Node 相關的知識, 以上就是關于開發 Node 服務端,常見的三種安全防范手段
原文地址:https://juejin.cn/post/7199329705706324027
更多node相關知識,請訪問:nodejs 教程!
以上就是淺析Node常見的三種關于安全方面的處理的詳細內容,更多請關注php中文網其它相關文章!
關鍵詞: Node.js
營業執照公示信息