bereinigen Sie die Daten für SQL, mit JavaScript

Ich habe eine Reihe von Formen, die verschiedenen input-Elemente. Ich will zu bereinigen, diese auf der server-Seite (ja, ich bin mit server-side JavaScript) zu verwenden, werden diese Eingaben als Parameter, und verhindern, dass Sonderzeichen fehlerhaft.

Bevor Sie gehen, wie "das gehört nicht in den Bereich von JavaScript", usw., etc.

Ich bin mit einer multi-Millionen lizensierten software-Lösung, die auch JavaScript, aber anscheinend hat keine standard-Funktionen, wie dieser aus der box. Also, was auch immer ich benutze, ich kann Ihnen versichern, dass Sie wahrscheinlich nie berührt oder davon gehört. Und es unterstützt server-side javascript, weil gut, die Sprache ist cool.

Mein erstes Ziel ist es zu bereinigen, die Daten vor der geht in die Datenbank, und ich Liebe einfach die Art und Weise zum Beispiel, wie Ruby Etiketten ausländischen Daten: befleckte. Und ich hab lieber keine befleckten Daten. So konnte ich mit google und copy paste einige schlechte regex-von hier und dort, und ich bekam etwas trauriges Beispiel. Allerdings würde ich gerne eine Funktion haben, dass gesagt werden würde, "gut, das nimmt 70% der möglichen Kram aus, dass die Daten und eine verdammt gut desinfizieren".

Grundsätzlich ein string der aus diesen Elementen sollten maskiert werden und ich nehme an, die best practices sind bereits für diesen Wunsch von mir. 

function sanitize(myString) { ... ; return myString }

Wie kann ich entkommen Symbole wie '#!? und andere spezielle Zeichen und wie kann ich Sie wieder in reverse? Ich bin mir bewusst, das JavaScript-escape-Methode, aber ich möchte wissen, ob eine Funktion bereits gedebuggt und der öffentlichkeit zur Verfügung stehen, bevor ich das Rad neu erfinden.

Als ich:
- JavaScript-Escape
- Die Base64-Codierung
- Regex

Ich nur eher Fragen die Leute, die geschrieben haben, solche Funktionen vor.

Dank,

  • Sie nicht wollen, zu bereinigen Sie Ihre Eingabe mit javascript, es kann deaktiviert werden, auf der client-Seite sehr easilly.
  • Wieder: "ich will zu bereinigen, diese auf der server-Seite..." (Meine Betonung). JavaScript != client-Seite
  • Sie sind angewiesen auf eine ehrliche Benutzer. Dies ist ein Schlecht. @Stefan H richtig ist. @T. J. die Beschreibung ist zweideutig, dann. Es geht um die Flucht der server-Seite und die JavaScript-escape-Methode.
  • wie kamen Sie mit javascript auf dem server? es muss einen besseren Weg, dies zu erreichen...
  • Ich verstehe nicht ganz Folgen... Wie würden Sie tun, server-side javascript-Bereinigung?
  • Für Benutzereingaben jeglicher Art, Sie viel sicherer mit gespeicherten Prozeduren als Gebäude eine Art von Zeichenfolge durch Verkettung.
  • "Ich verstehe nicht ganz Folgen... Wie würden Sie tun, server-side javascript-Bereinigung?" Durch die Verwendung von JavaScript auf dem server. JavaScript wurde verwendet auf der server-Seite, die seit 1996 oder so (in Netscape ' s web - /application-server). Jeder IIS-version veröffentlicht, die in den letzten 12 Jahren oder so hatte server-Seite "JScript". Vor kurzem, server-side JavaScript hatte ein Wiederaufleben, insbesondere in form von v8cgi und NodeJS, aber es gibt andere als gut.
  • Welche Datenbank-und Datenbank-adapter sind Sie mit Ihrem server-side JS?
  • Vielleicht ist er mit node.js, aber ich denke, es ist wahrscheinlicher, dass er einfach nur verwirrt.
  • Ich hatte keine Ahnung, dass es eine server-side-javascirpt, und wenn, dass ist ja das, was der OP mit, dann werde ich prompty entfernen meine Antwort, aber wie @treeFace gesagt, ich denke, Sie sind wahrscheinlich einfach nur verwirrt.
  • "wie kamen Sie mit javascript auf dem server? es muss einen besseren Weg, dies zu erreichen." Warum? Ich benutze JavaScript auf dem server die ganze Zeit. JS ist eine tolle Sprache, warum schreiben die Hälfte Ihrer app in einer Sprache und die andere Hälfte in dem anderen??
  • Könnte gut sein. Meine Frage ist: Wo ist der Kerl und warum hat er nicht aufgeklärt?
  • Crowder: Ja
  • Eigentlich benutze ich die JavaScript-API auf der Oberseite der Rhino innerhalb einer application server. Das JavaScript, das ich benutze, ist zu manipulieren die Daten, die bereits an der Teil, wo der Benutzer die Daten eingegeben. JavaScript ist eine Sprache, nicht eine nur-browser-Funktion.
  • Sie sicher, zeigte uns ;-). Übrigens, es könnte geholfen haben, um dies deutlich zu machen, in Ihrer ursprünglichen Frage.
  • Wenn ich Sie wäre, sich auf eine ehrliche Benutzer, warum zum Teufel würde ich wollen, desinfizieren Sie Ihre Eingabe?
  • gilt 😛
  • Ich nehme an, wir sind alle nur ein Haufen von reflex-action-know-it-alls, wenn wir sehen, eine Frage, die beinhaltet, "JavaScript", "SQL", und "Bereinigung". Ich bin mir sicher, dass Pawlow könnten Untersuchungen durchgeführt werden, SO dass Stammgäste mit einem post wie diesem X-D
  • Ich habe ein beiläufiges auf die Frage, damit die Menschen wissen, du bist nicht nur verwirrt, sondern wirklich mit server-side JavaScript.
  • 🙂 Kein Schaden entstanden. Ich erwartet, dass die meisten Reaktionen so sein 😉
  • Crowder: warum würde jemand mit server-side javascript verwechseln 🙂
  • Dies ist eine berechtigte Frage, denn der Node.js.

InformationsquelleAutor Shyam | 2010-12-20
  1. 9

    Siehe update unten

    Bist du das Rad neu erfinden. Was auch immer Sie verwenden, um zu sprechen, um Ihre Datenbank sollte eine gewisse Art von "prepared statement" - Konzept. In Java-es ist buchstäblich der PreparedStatement Klasse, aber im wesentlichen jede Datenbank-access-system haben sollten, etwas ähnliches. Sie verwenden diese, so dass Sie nicht den Aufbau von SQL-Anweisungen als Zeichenfolgen. So zum Beispiel, konzeptionell:

    preparedStatement = prepare("insert into mytable (id, name) values (?, ?)")
preparedStatement.setField(0, theId);
preparedStatement.setField(1, theName);

    Nicht:

    statement = "insert into mytable (id, name) values ('" + theId + "', '" + theName + "')"

    ...die Fragen, die für injection-Angriffe.

    Den "prepared statement" - Konzept zentralisiert die Flucht in die Datenbank link-Schicht, die gut vorbereitet sein, damit umzugehen. , Wenn Sie den Leuten sagen, was Sie verwenden, um auf Ihre Datenbank zugreifen, werden Sie in der Lage sein zu zeigen Sie an den entsprechenden Mechanismus. Siehe unten.

    Nur zur Klarstellung: Du machst diese Flucht auf dem server, richtig? Ich meine, das ist, wie ich es gelesen habe, haben Sie tatsächlich gesagt "ich will zu bereinigen, diese auf der server-Seite...". Aber nur, wenn Sie denken, es zu tun client-Seite: können Sie nicht. Nichts, absolut nichts, dass der client-Seite sendet Ihnen Vertrauen kann, wie es gefälscht werden kann. Sie müssen dies tun, server-Seite.

    Update: Sie haben kommentiert, dass Sie über Rhino in einem application server. Ausgezeichnet! Dann einfach PreparedStatement und lassen Sie Ihre JDBC-Treiber Regeln es für Sie. (Für nicht-Java-Schleicher: Rhino ist ein JavaScript für die Java VM. Es ist brilliant.)

    • Alternativ, wenn Sie don ' T haben Zugriff auf eine Abfrage binding/prepared-statement-Klasse, können Sie einfach die escape-Werte verketten in der Zeichenfolge. In PHP, können Sie sicherstellen, dass ein Wert ist ein integer, der durch die Verwendung intval() und können Sie escape-Zeichenfolgen mit mysql_real_escape_string()
    • Würde die downvoter Pflege zu teilen einige hilfreiche feedback?
    • Gut, die Datenbank ist eine Aufnahme-Einrichtung für meine Zwecke. Wie ich die Daten, die ich in meine Anwendung zu sein, die unbefleckt, also die Funktion, die ich Suche, ist wie die Anwendungs-Breite. Deshalb möchte ich eine JavaScript-Funktion, so kann ich es wiederverwenden, überall. Speichern auf der Datenbank, die speziell wäre ein Erster wichtiger Anwendungsfall dieser Funktion.
    • Ah, fair 'nuff. <s>ich glaube, ich habe eine Datenbank auf deine Frage, die war nicht da.</s> Warten Sie, Nein, ich nicht, du hast sql und sql-injection - tags auf dieser.
    • gut, mit non-sanitized Daten, die verwendet werden könnten, die in "sql" Anweisungen ein "sql-injection" wäre das erste Szenario für die hacker, das sieht aus wie das input-element. Wunder kann man tun
    • Arrrr.. aber das wäre wie geben alle die Spaß an der Datenbank. Im Grunde Auto-Wasch-javascript-string, bevor er es in die Datenbank, das wäre die Lösung die ich Suche.
    • Ja, verstehe ich. Ich bin mir nicht bewusst irgendeine vorgefertigte Lösung, fürchte ich. Sicherlich nicht escape, das ist nicht das, was es ist.
    • Gut, ich habe versucht, einige regex, damit ich weiß, wie, um loszuwerden, der ', aber es gibt viele Möglichkeiten. Ich dachte über die base64-Codierung zum Beispiel, aber ich Frage mich, ob das wirklich für die Flucht und die Hygienisierung.
    • Gibt es nicht wirklich eine standard-Funktion, die prepared statements über JDBC scheint, wie die nächste beste Sache. Danke für die Korrektur und gut strukturierte Antwort.

    InformationsquelleAutor T.J. Crowder
Schreibe einen Kommentar