Solucionado (ver solução)
Solucionado
(ver solução)
1
resposta

[Dúvida] Esses Query Builders também evita SQLInjection?

Referente ao curso ORM com Node.js: desenvolvendo uma API com Sequelize e SQLite, no capítulo Atualizando a API e atividade Para saber mais: ORM x Query builder

por Carlos Manuel Costa Lourenço
| 168.4k xp | 10 posts

Estou usando a biblioteca do sequelize e Com express

1 resposta
solução!
por Rafael Rocha
| 1964.7k xp | 4335 posts
Alura Scuba Team Time Alura | Apoio Educacional no Fórum

Olá Carlos, tudo bem com você?

Sim, tanto ORMs quanto Query Builders, como o Sequelize e o Knex são projetados para ajudar a prevenir ataques de SQL Injection. Eles fazem isso por meio do uso de parâmetros nomeados ou posicionais nas consultas, que são então preenchidos de forma segura pelos respectivos mecanismos.

Por exemplo, usando o Sequelize, uma consulta segura seria algo assim:

const { Op } = require("sequelize");
const { User } = require("./models");

User.findAll({
  where: {
    nome: {
      [Op.like]: "Carlos%"
    }
  }
});

Neste exemplo, o Sequelize preenche o parâmetro de forma segura, evitando a possibilidade de um ataque de SQL Injection. No entanto, é importante ressaltar que, embora essas ferramentas ajudem a prevenir ataques de SQL Injection, elas não são à prova de falhas. Ainda é necessário seguir as melhores práticas de segurança, como a validação de entrada de dados e a utilização de consultas parametrizadas ou prepared statements.

Conte com o apoio do Fórum na sua jornada. Espero ter ajudado. Fico à disposição. Abraços e bons estudos!

Caso este post tenha lhe ajudado, por favor, marcar como solucionado ✓. Bons Estudos!

Quer mergulhar em tecnologia e aprendizagem?

Receba a newsletter que o nosso CEO escreve pessoalmente, com insights do mercado de trabalho, ciência e desenvolvimento de software