使用 JavaScript 清理 SQL 数据

我有一堆具有各种输入元素的表单。我想在服务器端清理这些（yes，我使用服务器端 JavaScript）将这些输入用作参数，并防止特殊字符格式错误。

在你走之前，比如“这不属于 JavaScript 的领域”等等。

我正在使用一个价值数百万美元的许可软件解决方案，它有 JavaScript，但显然没有像这样开箱即用的标准功能。所以，无论我使用什么，我可以向你保证，你可能从未接触过它或听说过它。而且它支持服务器端 JavaScript，因为这种语言很酷。

我的第一个目标是在数据进入数据库之前对其进行清理，我很喜欢这种方式，例如 Ruby 如何标记外部数据：污染。我宁愿没有受污染的数据。所以我可以在谷歌上搜索并复制粘贴一些糟糕的正则表达式，我得到了一些悲伤的例子。然而，我想要一个函数，可以说“好吧，从数据中删除 70% 的可能内容，并进行非常好的清理”。

基本上，这些元素中的字符串应该被转义，并且我认为已经存在满足我这个愿望的最佳实践。

function sanitize(myString) { ... ; return myString }

如何转义“#!”等符号？和其他特殊字符，我怎样才能让它们反向返回？我知道 JavaScript 转义方法，但我想知道在重新发明轮子之前函数是否已经调试完毕并且公开可用。

我考虑过： - JavaScript 转义 - Base64编码 - 正则表达式

我只是问以前写过此类函数的人。

Thanks,

请参阅下面的更新

你正在重新发明轮子。无论您使用什么与数据库对话，都应该有某种“准备好的语句”概念。在 Java 中，它的字面意思是PreparedStatement类，但本质上任何数据库访问系统都应该有类似的东西。使用它们是为了避免将 SQL 语句构建为字符串。例如，从概念上来说：

preparedStatement = prepare("insert into mytable (id, name) values (?, ?)")
preparedStatement.setField(0, theId);
preparedStatement.setField(1, theName);

Not:

statement = "insert into mytable (id, name) values ('" + theId + "', '" + theName + "')"

...这是要求注入攻击。

The "prepared statement" concept centralizes escaping to the database link layer, which is well-prepared to handle it. If you tell people what you're using to access your database, they'll be able to point you at the relevant mechanism. See below.

只是为了避免疑问：你这样做是为了逃避在服务器上， 正确的？我的意思是，我就是这么读的，你实际上说过“我想在服务器端清理这些......”。但以防万一您考虑在客户端执行此操作：你不能。客户端发送给您的任何东西，绝对没有任何东西是可以信任的，因为它可以被伪造。您必须在服务器端执行此操作。

Update：您曾评论过您在应用程序服务器中使用 Rhino。出色的！然后就PreparedStatement http://download.oracle.com/javase/6/docs/api/java/sql/PreparedStatement.html并让您的 JDBC 驱动程序为您处理。（对于非 Java 潜伏者：Rhino 是用于 Java VM 的 JavaScript。这太棒了。）