我目前正在实施一个 Vapor 4 应用程序,该应用程序将用于管理机器。 用户应该能够搜索机器名称,这是我通过
完成的.filter(Machine.path(for: \Machine.$name), .contains(inverse: false, .anywhere), term)
其中term 是用户提供的任意String。
代码本身按预期工作,但我想知道是否存在 SQL 注入漏洞(或其他攻击)的可能性。
我的问题:
是否可能存在 SQL 注入(或其他攻击),如果可能,我该如何防止(请提供代码示例)?
【问题讨论】:
标签: swift sql-injection vapor vapor-fluent
由于您使用的是 Fluent,因此会自动阻止 SQL 注入,一切顺利!
而不是像这样简单地构造一个查询:
SELECT * FROM machines WHERE name = '\(user_provided_name)'
Fluent 使用值绑定,这是数据库提供的一项功能,用于将值传递到查询中,这样如果字符串包含 SQL 代码,值就会被转义并且不会被执行。它看起来像这样:
SELECT * FROM machines WHERE name = ?
然后将值与查询一起传递到数据库服务器(在本例中为 MySQL),在那里它会自动将占位符 (?) 替换为提供的值。
快速评论您的查询,如果需要,您可以导入 FluentSQL 模块,然后像这样编写您的查询:
.filter(\.$name ~~ term)
如果你宁愿保持现在的样子,那也没关系。
【讨论】: