#javascript #sql #node.js #sequelize.js
#javascript #sql #node.js #sequelize.js
Вопрос:
Я видел устаревший проект, который имеет смысл для SQL-инъекций с помощью Sequelize raw запросов. Чтобы определить потенциального подозреваемого, я искал во всем проекте:
.query(источник: https://sequelize.org/v5/manual/raw-queries.html ).literal(источник: https://sequelize.org/v5/class/lib/sequelize.js ~Sequelize.html#статический метод-литерал)
Существуют ли другие способы запуска SQL-инъекции через sequelize, кроме использования query literal методов and?
Комментарии:
1. проверьте также
.fnфункции, они могут принимать простую строку
Ответ №1:
Sequelize.fn также может быть опасно, если у нас есть что-то подобное:
Sequelize.fn('EXECUTE_FN', 'DROP TABLE sometable;')