Knex.js是否阻止sql注入？

Question

我使用的是MySql数据库，并试图找到tedious.js (一种SQL server参数化查询构建器)的MySQL替代品。我正在使用Node.js作为后端。

我了解到，如果不与绑定一起使用，来自knex.js的.raw()命令容易受到sql注入的影响。但是，使用其他命令和knex.js作为一个整体来防止sql注入是否安全呢？还是我找错人了？

Answer 1

仔细阅读knex文档中的如何将值传递给knex raw (http://knexjs.org/#Raw)。

如果将值作为参数绑定传递给raw，如下所示：

knex.raw('select * from foo where id = ?', [1])

在这种情况下，参数和查询字符串分别传递给数据库驱动程序，以保护查询免受SQL注入。

其他查询构建器方法总是在内部使用绑定格式，因此它们也是安全的。

要查看某些查询是如何传递给数据库驱动程序的，可以这样做：

knex('foo').where('id', 1).toSQL().toNative()

它将输出提供给驱动程序用于运行查询的SQL字符串和绑定(https://runkit.com/embed/2yhqebv6pte6)。

使用knex raw查询的最大错误是使用javascript模板字符串，并将变量直接插入到SQL字符串格式，如：

knex.raw(`select * from foo where id = ${id}`) // NEVER DO THIS 

要注意的一件事是，knex表/标识符名不能作为绑定传递给驱动程序，因此在使用这些表名/标识符名时，应该格外小心，不要从用户那里读取表名/列名，并且在没有正确验证它们的情况下使用它们。

编辑：

我说标识符名称不能作为绑定传递，我的意思是，当使用SQL -binding作为标识符名称时，它将在传递给数据库驱动程序时呈现为??字符串的一部分。