首页
学习
活动
专区
工具
TVP
发布
社区首页 >问答首页 >将数据发送到数据库时失败

将数据发送到数据库时失败
EN

Stack Overflow用户
提问于 2019-08-08 00:50:43
回答 1查看 36关注 0票数 0

我不知道为什么post函数会有问题。它返回"Cannot GET /api/signup/email/password/nick“。

但是Get函数工作正常

我在任何地方都找不到答案。我不熟悉后端开发。

代码语言:javascript
复制
var express = require('express');
var app = express();
var mysql = require('mysql');

var db = mysql.createConnection({
    host: "localhost",
    user: "root",
    database : "flatduties",
    password: ""
});

db.connect(function(err) {
    if (err) throw err;
    console.log("Connected!");
});


///////////// API //////////////

const router = express.Router();
app.use('/api', router);

router.get('/', (request, response) => {
    response.json({message: 'api v1 - projekt'});
});

router.post('/signup/:email/:passwrd/:nick', function(req, res, next) {  
var mail = req.params.email;
var pass = req.params.passwrd;
var nick = req.params.nick;

db.query("INSERT INTO `user`(`Email`, `Password`, `Nick`) VALUES  ('"+mail+"', '"+pass+"', '"+nick+"');", function (error, results,fields) {
  if(error){
    res.send(JSON.stringify({"status": 500, "error": error, "response": null}));
  } else {
    res.send(JSON.stringify({"status": 200, "error": null, "response": results}));
  }
});
});

router.get('/login/:email/:passwrd', function(req, res, next) {
  var email = req.params.email;
  var pass = req.params.passwrd;

  db.query("SELECT UserID, Email, Password, Nick, GroupID FROM user WHERE Email ='"+email+"' AND Password ='"+pass+"';", function (error, results, fields) {
  if(error){
    res.send(JSON.stringify({"status": 500, "error": error, "response": null}));
  } else {
    res.send(JSON.stringify({"status": 200, "error": null, "response": results}));
  }
});
});

app.listen(8888);
EN

回答 1

Stack Overflow用户

发布于 2019-08-08 03:09:05

@Tadman在他的评论中警告咆哮是完全正确的。互联网上到处都是网络爬虫,他们只是希望某人的网站像你的网站一样不安全。如果这个网站向全世界开放,它几乎肯定会在一周内被攻破。

在Stack Overflow上,当人们做不安全的事情时,我们会用力推送。为什么我们对此如此执着?我怎么知道这种东西是危险的?这是一个冗长而尴尬的故事。

永远不要将密码放在这样的URL中

代码语言:javascript
复制
https://pwned.example.com/login/oskar%40example.com/secret 

它将登录到您的web服务器日志中。然后,您和任何看到您的日志的人都会知道您用户的密码。用户真的不喜欢这样。

要处理登录问题,我建议您查看node / express的passport扩展。

要对您的密码进行哈希处理,请查看bcrypt

所有这些都是这样说的:

你有这个代码。

代码语言:javascript
复制
router.post('/signup/:email/:passwrd/:nick', function(req, res, next) { /*unsafe*/
    var mail = req.params.email;
    var pass = req.params.passwrd;
    var nick = req.params.nick;
    db.query("INSERT....

相反,您希望在node / express程序中实现的内容更像这样。您可以从POST操作的主体(有效负载)中获取参数。

代码语言:javascript
复制
const bcrypt = require('bcrypt');
const saltRounds = 10;
...
router.post('/signup', function(req, res, next) {
    const mail = req.body.email;
    const pass = req.body.passwrd;
    const nick = req.body.nick;
    /* securely hash the password */
    bcrypt.hash(pass, saltRounds, function(err, hash) {
       /* store hash, never pass, in your database. */
       db.query("INSERT ...
    });
 ...

然后,在您的html中,您需要类似这样的内容(未调试,并且绝对不是很好的样式)。

代码语言:javascript
复制
 <form method="post" action="https://example.com/signup">
     <input type="email" name="email" placeholder="Your email address" />
     <input type="password" name="passwrd" />
     <input type="text" name="nick" placeholder="Your nickname" />
     <input type="submit" name="submit" value="Sign Up Now" />
 </form>

当您的用户单击Sign Up Now时,web浏览器会将表单发布到您的node / express应用程序,并在正文中包含表单域,而不是URL。

票数 1
EN
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:

https://stackoverflow.com/questions/57399071

复制
相关文章

相似问题

领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档