knex.where容易受到sql注入攻击吗？

Question

这是https://stackoverflow.com/a/50337990/1370984的后续问题。

它提到knex('table').where('description', 'like', '%${term}%')很容易受到sql注入攻击。甚至有评论都提到第一种情况是很容易被注入攻击的。然而，所提供的参考资料从未提到.where容易受到注入攻击。

这是个错误吗？为什么肯耐视允许.where容易受到注入攻击，而不允许.whereRaw('description like \'%??%\'', [term])攻击。在这两种情况下，参数不是都被参数化了吗？

Answer 1

这是https://stackoverflow.com/a/50337990/1370984的后续问题。

它提到knex('table').where('description'，'like'，'%${term}%')容易受到sql注入攻击。甚至有评论都提到第一种情况是很容易被注入攻击的。然而，所提供的参考资料从未提到.where容易受到注入攻击。

我是knex的维护者，我在那里说过

knex('table').where('description', 'like', `%${term}%`)

不容易受到SQL注入攻击。

，这是个错误吗？为什么knex允许.where容易受到注入攻击，而不允许.whereRaw(“描述”，比如%？‘’，术语)。在这两种情况下，参数不是都被参数化了吗？

当您将值直接插入到string (例如？)时，.whereRaw易受攻击。(标识符替换做)。

例如，在这种情况下，正确使用.whereRaw如下：

.whereRaw("?? like '%' || ? || '%'", ['description', term])

其中所有标识符都被正确引用，并将term作为参数绑定发送到DB。

因此，答案和大多数添加到该答案的评论都是完全错误的。