Sql Инъекции в Sequelize.query

Question

Я впервые использую sequelize с postgres в коде.Также я впервые за долгое время использую базу данных Sql.

Я изучал вопрос о том, как повысить производительность и безопасность некоторых запросов Sql, которые я делаю с использованием sequelize.query (<insert query here>).

Является ли этот способ сделать запросы уязвимыми для Sql Injection?

Answer 1

Хотя их можно избежать, вы также можете создавать запросы, уязвимые для SQL-инъекций.

Если вы используете исключительно запросов, которые используют Замены или параметры связывания для все введенные пользователем значения , вы должны быть в безопасности.

Answer 2

Является ли это уязвимым для SQL-инъекций: простой ответ - «да».Вы используете необработанный запрос.Если этот необработанный запрос когда-либо получает ввод от пользователя, хотя и косвенно, вы открываете возможность внедрения SQL.Реальный риск или нет, зависит от остальной части вашего кода.

Производительность отличается.Необработанный запрос может быть немного более производительным, чем использование методов sequalize, но НАМНОГО больше зависит от структуры базы данных и характера самого запроса.Это широкая тема, на которую невозможно ответить из предоставленной информации.