Node / Express服务器能否安全地接受所有UTF -8字符？

Question

目前，我有一个运行express的节点服务器和一个postgresql数据库。我知道postgresql支持UTF-8编码。我的前端是Angular的，我相信Angular会处理任何不安全的注入。

我是否可以从Angular获取UTF-8字符，并通过我的node/express服务器运行它并进入我的postgresql数据库，而不会出现任何安全问题？

node/express服务器是否易受注入攻击？

如果恶意用户设法绕过Angular并直接访问API以插入未转义的输入。如果我稍后将它发送回Angular，它应该仍然是安全的，对吗？

Answer 1

你应该总是在后端做安全性，因为任何前端都可以被用户操纵。

你当然可以从Angular获得UTF-8。如果没有适当的处理，SQL i投射将非常容易。

Answer 2

每当您与HTTP交互时，都可以应用UTF-8 ...你只需要在头文件中设置它。参见here。

SQL注入是没有准备好的语句的结果。它必须在服务器端完成，因为用户可以在他们的客户端浏览器中禁用javascript。例如node-postgres。