私はsqlite3データベースにアクセスするjavascriptコードを持っています。テキストフィールドの値を検証し、SQLインジェクションを防止したいと思います。そのための "最適なアルゴリズム"はありますか?JavaScriptのテキストフィールドにSQLインジェクションを避けるには?
- アップデート:私はXulrunnerデスクトップアプリケーションを開発しています。たぶん私はコンパイルされた(C言語で書かれた)xpcomコンポーネントのデータベースを使うべきで、ユーザーはそれにアクセスできないだろう。
SQLインジェクション防止はサーバー側で行われ、何もできないそれを防ぐためにクライアント側で行います。
はい、彼はsqlite3を使用しています。私はこれがサーバーではなくローカルであると想定しています。 –
@Gordon Worley、この文脈では、私はサーバー側がエンドユーザーによって無効にされたり変更されたりすることができないPHP、C#などの言語のいくつかの形式を含むだろうと言っています。 –
@Gordon Worley - 彼はクライアント側のデータベースにアクセスしていますか?男、それはコンセプトです。決してそれを考えなかった。 –
あなたはどのような環境にいるのかよく分かりませんが、JavaScriptの性質とブラウザなどで頻繁に実行される方法のため、コードインジェクション攻撃は比較的簡単です。クライアント側で行うことは、攻撃について深刻な人が踏み込んでしまう可能性があります。検証しないでください。検証だけで十分であるかどうかを知るために実行している場所に注意を払う必要があることに注意してください。
おそらく、Javascriptはクライアント側で通常見つかるため、Javascriptはデータベースに直接アクセスしていない可能性があります。あなたはあなたのサーバーで何を動かしていますか? –
dupe? http://stackoverflow.com/questions/3913837/best-way-to-prevent-sql-injection-using-javascript-or-c – slandau
JavaScriptコードがdbに直接アクセスしていますか? –