是否有可能防止SQL注入在Node.js(最好与一个模块),就像PHP有防备他们的Prepared语句相同的方式。 如果是这样,怎么样? 如果不是, 那么有些示例可能会绕过我提供的代码(请参见下文)。 一些上下文: 我正在使用node-mysql模块构build一个由Node.js + MySql组成的后端堆栈的Web应用程序。 从可用性的angular度来看,这个模块非常棒,但是它还没有实现类似于PHP的Prepared Statements (尽pipe我知道它是在待办事项上 )。 从我的理解来看,除了别的之外,PHP的准备语句的实现在预防SQL注入方面起了很大作用。 不过,我担心, 即使使用默认提供的string转义 (如下面的代码片段),我的node.js应用程序也可能面临类似的攻击。 node-mysql似乎是node.js最stream行的mysql连接器,所以我想知道其他人可能在做什么(如果有的话)来解决这个问题 – 或者如果它甚至是node.js的问题开始(不知道这将不会如何,因为涉及用户/客户端input)。 我应该暂时切换到node-mysql-native ,因为它提供了准备好的语句? 我不愿意这样做,因为它似乎不像node-mysql那样活跃(尽pipe这可能意味着它是完整的)。 下面是用户注册代码片段,它使用了卫生清理器模块,以及node-mysql预先准备好的类似语句的语法(正如我上面提到的那样,字符转义),以防止跨站点脚本和sql注入: // Prevent xss var clean_user = sanitizer.sanitize(username); // assume password is hashed already var post = {Username: clean_user, Password: hash}; // This just uses connection.escape() underneath var query = connection.query('INSERT INTO users […]