Uso sequelize con express. Devo proteggere il db da sql-injection. Ho visto la documentazione di sequelize ma non ho trovato nulla. Quindi, per favore aiutami a prevenire l'iniezione di sql usando sequelize.Come prevenire sql-injection in nodejs e sequelize?
Sequenza di sostituzioni di escape, che evita il problema alla base degli attacchi di SQL injection: stringhe senza caratteri di escape. Supporta anche i parametri vincolanti quando si utilizza SQLite o PostgreSQL, che allevia il rischio ulteriormente inviando i parametri per il database separatamente alla query, as documented here:
parametri Bind sono come sostituzioni. Tranne che le sostituzioni sono sfuggite a e inserite nella query sequelize prima che la query sia inviata a il database, mentre i parametri di bind vengono inviati al database all'esterno del testo della query SQL al di fuori dello . Una query può avere o bind parametri o sostituzioni .
Solo SQLite e PostgreSQL supportano i parametri di bind. Altri dialetti li inseriranno nella query SQL nello stesso modo in cui vengono eseguiti per le sostituzioni . I parametri di collegamento sono indicati con $ 1, $ 2, ... (numerico) o $ chiave (alfanumerico). Questo è indipendente dal dialetto.
https://snyk.io/blog/sql-injection-orm-vulnerabilities/ –