使用Javascript防止WebSQL注入
WebSQL injection prevention with Javascript
我四处搜索,但没有找到这个问题的答案。
Javascript中是否有类似于PHP的mysql_real_escape_string的函数,可以在将用户输入写入WebSQL数据库之前进行安全的用户输入?
如果没有,有人知道我可以使用的自定义函数吗?
更新:所以似乎没有本机函数,所以我写了:
function sql_real_escape_string(val){
var val = val.replace('"','"');
val = val.replace('''','’');
return val;
}
为了安全起见,我还应该替换其他角色吗?
在插入数据库时处理用户输入的最佳答案是使用参数化。Web SQL API支持以下内容:
var db = openDatabase('mydb', '1.0', 'my database', 2 * 1024 * 1024);
db.transaction(function (tx) {
tx.executeSql('INSERT INTO foo (id, text) VALUES (?, ?)', [id, userValue]);
});
取而代之的是:
db.transaction(function (tx) {
tx.executeSql('INSERT INTO foo (id, text) VALUES (1, "user-entered value")');
});
相关文章:
- 使用Objective-C的JavaScript注入方法
- 正在注入包含JS的HTML
- 迷你$provider注入茉莉花和角
- Angularjs工厂注入错误
- 通过命令行/批处理文件打开页面时,将javascript代码注入Google Chrome
- 如何在Ionic Android中将Javascript注入到web视图中
- Android Webview通过Javascript注入CSS
- Meteor:在启动时将html注入客户端文件
- 注入工厂时,Angular停止工作
- 查询后websql成功回调无法访问变量
- 注入Javascript以选择具有指定值的所有单选按钮
- XSS通过地址栏注入
- 注入angularjs指令
- Ember服务在注入组件并在计算属性中使用后是未定义的
- AngularJS依赖注入定时问题
- 如何通过铬扩展注入反应元素
- 如何防止在客户端/服务器两侧对文本框进行sql注入
- Ionic将firebase注入工厂,同时将控制器和服务保存在不同的文件中
- 使用Javascript防止WebSQL注入
- 防止 WebSQL 数据库中的 SQL 注入?(如何处理数据中的报价?
