NodeJS常见的三种安全防范手段

一、前言

本人主要是讲解在开发Node服务端的时候， 三种关于安全方面的处理

二、预防方式

1、 sql注入

这是一个最原始也最简单的攻击， 从 web2.0 开始有了人机交互后就出现的一种攻击方式

当我们使用 node 连接到数据库的时候， 通常会在 node 端写 sql 语句来进行数据库查询， 例如下方

-- 这是一个简易的登录判断sql语句， 输入 username 和 password 在 users 表中进行用户登录验证,  然后获取用户的地址和年龄
select address, age from users where username=${username} and password=${password}

但是如果我在 username 中做点手脚 使他传入的是一个sql语句这样就极其的危险

-- username 输入为 ali -- 
-- 上面这段 sql 就会被解析成这样 
select address, age from users where username=ali -- and password=${password}

看上面的代码片段可以发现， -- 在sql中是属于注释的存在， 所以如果当我在 sql 查询动态获取用户输入的 username 字段中， 如果结尾是 -- 就会把后面password的条件验证去掉

也就是代表用户无论输入什么 password， 只要 username 字段在数据库中存在就可以拿到对应的信息

当然攻击者也可以在后面继续拼接删库的 sql 语句，这其实是更加危险的

-- username 输入为 ali; delete from users where username="ali" --
-- 就会拼接成下面这种语句 这是极其危险的
select address, age from users where username=ali; delete from users where username="ali" -- and password=${password}

处理方案

在 node 开发中连接数据库, 拼接sql语句是使用 mysql 这个npm包， 所以在这个包中也有对应 sql注入 攻击的处理函数

可以使用 mysql.escape函数 ， 对所有来源于前端的数据进行包裹一层， 这个函数会把 -- 或者其他的特殊字符进行转义，这样就不会出现在sql语句中会有注释的情况

2、xss 攻击

这个攻击我们作为前端应该是很熟悉的了

其攻击方式就是在页面的展示内中掺杂 Js 的代码以获取网页信息

在我们开发 Node 服务端的时候， 对前端传来的数据统统处理一下就行了 ，也就是进行特殊字符转义 (所有的转义字符后都需要 加上;这个特殊符号 由于无法演示 我截图的时候去掉了

处理方案

开发 Node 服务端，使用 xss 这个npm包，把前端传入的数据都使用这个包裹一下就行

3、密码加密

假如我们数据库被入侵， 其中最不应该泄露的就是用的信息了

因为攻击者可以拿着用户的账户密码去尝试登录其他的系统

处理方式

这个就需要在数据库不用明文存储用户的密码信息， 在存入数据库之前把密码通过自定义 key 加密一下， 当然这个 key 需要你自己独享 不能泄露

或者通过其他密码算法加密也是可以的

---

这篇好文章是转载于：学新通技术网