web server博客项目
- Node.js 从零开发 web server博客项目[项目介绍]
- Node.js 从零开发 web server博客项目[接口]
- Node.js 从零开发 web server博客项目[数据存储]
- Node.js 从零开发 web server博客项目[登录]
- Node.js 从零开发 web server博客项目[日志]
- Node.js 从零开发 web server博客项目[安全]
- Node.js 从零开发 web server博客项目[express重构博客项目]
- Node.js 从零开发 web server博客项目[koa2重构博客项目]
- Node.js 从零开发 web server博客项目[上线与配置]
controller/login.js
const { exec, escape } = require('../db/mysql')
const { genPassword } = require('../utils/cryp')
const login = (username, password) => {
username = escape(username)
password = escape(password)
const sql = `
select username, realname from users where username=${username} and password=${password}
`
...
-
XSS 攻击 : 窃取前端的 cookie 内容
- 攻击方式 : 在页面展示内容中参杂 js 代码 , 以获取网页信息
- 在新建文档中的标题编辑及框中写入
<script>alert(document.cookie)</script>
- 预防措施 : 转换生成 js 的特殊字符
- 在服务端中转译为
<scrit>alert(document.cookie)</script>
- 在服务端中转译为
-
密码加密 : 保障用户信息安全 ( 重要! )
const crypto = require('crypto');
// 密匙
const secret = 'abcdefg';
// sha256加密
function sha256(content) {
return crypto.createHmac('sha256', secret)
.update(content)
.digest('hex');
}
// md5再次加密
function genPassword(password) {
return crypto.createHash('md5', secret)
.update(password)
.digest('hex')
}
module.exports = {
genPassword
}
ctroller/user.js
const { exec, escape } = require('../db/mysql')
const { genPassword } = require('../utils/cryp')
const login = (username, password) => {
username = escape(username)
// 生成加密密码
password = genPassword(password)
password = escape(password)
const sql = `
select username, realname from users where username=${username} and password=${password}
`
// console.log('sql is', sql)
return exec(sql).then(rows => {
return rows[0] || {}
})
}
module.exports = {
login
}