我不知道为什么post函数会有问题。它返回"Cannot GET /api/signup/email/password/nick“。
但是Get函数工作正常
我在任何地方都找不到答案。我不熟悉后端开发。
var express = require('express');
var app = express();
var mysql = require('mysql');
var db = mysql.createConnection({
host: "localhost",
user: "root",
database : "flatduties",
password: ""
});
db.connect(function(err) {
if (err) throw err;
console.log("Connected!");
});
///////////// API //////////////
const router = express.Router();
app.use('/api', router);
router.get('/', (request, response) => {
response.json({message: 'api v1 - projekt'});
});
router.post('/signup/:email/:passwrd/:nick', function(req, res, next) {
var mail = req.params.email;
var pass = req.params.passwrd;
var nick = req.params.nick;
db.query("INSERT INTO `user`(`Email`, `Password`, `Nick`) VALUES ('"+mail+"', '"+pass+"', '"+nick+"');", function (error, results,fields) {
if(error){
res.send(JSON.stringify({"status": 500, "error": error, "response": null}));
} else {
res.send(JSON.stringify({"status": 200, "error": null, "response": results}));
}
});
});
router.get('/login/:email/:passwrd', function(req, res, next) {
var email = req.params.email;
var pass = req.params.passwrd;
db.query("SELECT UserID, Email, Password, Nick, GroupID FROM user WHERE Email ='"+email+"' AND Password ='"+pass+"';", function (error, results, fields) {
if(error){
res.send(JSON.stringify({"status": 500, "error": error, "response": null}));
} else {
res.send(JSON.stringify({"status": 200, "error": null, "response": results}));
}
});
});
app.listen(8888);
发布于 2019-08-08 03:09:05
@Tadman在他的评论中警告咆哮是完全正确的。互联网上到处都是网络爬虫,他们只是希望某人的网站像你的网站一样不安全。如果这个网站向全世界开放,它几乎肯定会在一周内被攻破。
在Stack Overflow上,当人们做不安全的事情时,我们会用力推送。为什么我们对此如此执着?我怎么知道这种东西是危险的?这是一个冗长而尴尬的故事。
永远不要将密码放在这样的URL中
https://pwned.example.com/login/oskar%40example.com/secret
它将登录到您的web服务器日志中。然后,您和任何看到您的日志的人都会知道您用户的密码。用户真的不喜欢这样。
要处理登录问题,我建议您查看node / express的passport扩展。
要对您的密码进行哈希处理,请查看bcrypt。
所有这些都是这样说的:
你有这个代码。
router.post('/signup/:email/:passwrd/:nick', function(req, res, next) { /*unsafe*/
var mail = req.params.email;
var pass = req.params.passwrd;
var nick = req.params.nick;
db.query("INSERT....
相反,您希望在node / express程序中实现的内容更像这样。您可以从POST操作的主体(有效负载)中获取参数。
const bcrypt = require('bcrypt');
const saltRounds = 10;
...
router.post('/signup', function(req, res, next) {
const mail = req.body.email;
const pass = req.body.passwrd;
const nick = req.body.nick;
/* securely hash the password */
bcrypt.hash(pass, saltRounds, function(err, hash) {
/* store hash, never pass, in your database. */
db.query("INSERT ...
});
...
然后,在您的html中,您需要类似这样的内容(未调试,并且绝对不是很好的样式)。
<form method="post" action="https://example.com/signup">
<input type="email" name="email" placeholder="Your email address" />
<input type="password" name="passwrd" />
<input type="text" name="nick" placeholder="Your nickname" />
<input type="submit" name="submit" value="Sign Up Now" />
</form>
当您的用户单击Sign Up Now时,web浏览器会将表单发布到您的node / express应用程序,并在正文中包含表单域,而不是URL。
https://stackoverflow.com/questions/57399071
复制相似问题