我是 neo4j 的新手,负责编写一些密码注入(inject)测试。我们正在使用参数化,但我正在编写测试以防有人将其更改为使用字符串连接。我需要一个示例查询来检查我的测试,但我不完全确定什么是好的查询。我正在考虑使用 MATCH (n) DETACH DELETE n 删除所有节点和关系,但我不确定是否需要在开头添加引号或其他内容以结束字符串并运行查询?如 “MATCH (n) DETACH DELETE n 中那样。这行得通吗?我可以使用更好的东西吗?感谢您的帮助!
最佳答案
这个查询和你问的不一样:
获取用户的两种方式:
- 字符串连接:
"MATCH (u:USER) WHERE u.id = " + id + " RETURN u"
- 参数化:
"MATCH (u:USER) WHERE u.id = {id} RETURN u"
您可以通过在两个查询中传递 id 的值来进行检查,例如:
1 OR 1=1
或者 id 的最差值,例如:
1 OR 1=1
WITH u
DETACH DELETE u
关于testing - 用于测试密码注入(inject)的示例查询?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/54216183/