express框架会过滤数据库注入或者xss攻击么

app.post('/post', urlencodedParser, function (req, res) {    
            db.myinsert(req.body, function (err,result) {               if(err)  { console.log('Error:'+ err);  return; } 
             console.log(req.body)
            })
        console.log(req.body);
})

1回答

侃侃无极

数据库注入express好像没有自带数据库组建吧？你应该看看你用的db是哪个库，里面有没有对SQL的参数进行转义和过滤。一般不手工拼SQL的话，一个合格的DB库应该是能避免SQL注入的。xss攻击为了避免xss攻击，输入的过滤当然也是一道关，但是更重要的是输出的时候不要把（潜在的）用户输入直接当作HTML片段进行输出，而应该转义后再输出。如果非要用户输入富文本（HTML片段之类的），则应该用比较安全的方式，比如使用UBB代码来代替HTML代码。而用户非要输入HTML代码的时候，则应该要通过htmlpurifier这样的输入过滤工具过滤掉潜在的xss代码。

0

0

0