我见过一个遗留项目,它通过 Sequelize 原始查询对 SQL 注入很敏感。为了确定潜在嫌疑人,我在整个项目中搜索:
.query
(来源:https : //sequelize.org/v5/manual/raw-queries.html).literal
(来源:https : //sequelize.org/v5/class/lib/sequelize.js~Sequelize.html#static-method-literal)除了使用query
和literal
方法之外,还有其他方法可以通过 sequelize 运行 SQL 注入吗?
Sequelize.fn
如果我们有这样的东西,也可能很危险:
Sequelize.fn('EXECUTE_FN', 'DROP TABLE sometable;')
本文收集自互联网,转载请注明来源。
如有侵权,请联系[email protected] 删除。
我来说两句