私は生産アプリケーションにnode-postgres
を使用していますが、何か気になるものがあるのでしょうか?データは自動的にnode-postgres
によって浄化されますか?pg(node-postgres)は自動的にデータをサニタイズします
私はgithubのページにそれについて何かを見つけることができませんでした:https://github.com/brianc/node-postgres
私は生産アプリケーションにnode-postgres
を使用していますが、何か気になるものがあるのでしょうか?データは自動的にnode-postgres
によって浄化されますか?pg(node-postgres)は自動的にデータをサニタイズします
私はgithubのページにそれについて何かを見つけることができませんでした:https://github.com/brianc/node-postgres
それはあなたのクエリを実行する方法によって異なります。しかし、一度に複数のクエリを実行することができないなど、他の制限があり、必要に応じてサニティジドエンティティ名を提供することはできません。
通常のクエリの書式設定は値に対してサニタイズされており、エンティティ名と複数のクエリの書式設定に柔軟性がありますが、SQLインジェクションに対する保護はありません。
絶対に!ノードpostgresでのパラメータ化されたクエリのサポートはファーストクラスです。
これは彼らのdocumentationからである:すべてのエスケープは、例えば、これはSQLを注入しないだろう...などの方言、エンコーディング、全体で適切な動作を保証するPostgreSQLサーバによって行われます。今度は任意のSQLインジェクションからあなたのクエリをサニタイズサーバーによって実行されるPrepared Statements
経由
フォーマット: