菜鸟教程中的nodejs连接mysql数据库教程存在sql注入问题吗？

菜鸟教程中的nodejs连接mysql数据库教程存在sql注入问题吗？

是否有漏洞与代码有关，与此无关
其中主流的连接MySQL的方式是用mysql或者mysql2包，它们只是提供了调用驱动的api。很多框架中包括egg，nest都是基于此封装的。

但这不是SQL注入的关键，它只是一种连接方式。

它只管连接，不管其他的，存不存在SQL注入完全靠写代码的人本身啊。
一句脚本本没有问题(知道不让直接放sql的，也是放注入)，但是你如果让SQL变成由用户输入拼接而成，那就存在SQL注入的风险。
你应该去了解SQL注入的原理，然后进行防患，百度就能找到，然后可以用ORM，一般都对输入做了处理，还能避免直接写SQL(但其实难的地方还得自己写)。
有不理解可以追问。

如何系统的学习nodejs

想要系统的学习node, 去Node的官网看doc把, 有能力的话一定要看英文原版, 把node几个核心模块的用法学会了, 再尝试用node去实现一个WebApp, 比如聊天室啊, blog之类的. 那么差不多你就入门了, 另外书的话, 推荐 @朴灵的[深入浅出Node.js] .这里推荐一个taobao前端写的Node的入门教程 七天学会NodeJS.差不多看完LZ就该明白怎么学了.

node.js这么好学？

首先，必须了解nodejs的相关知识的综述，这是第一步，也是基础。然后开始有计划的去学习教程，教程作为基础的书籍，必须每天有计划的去进行相关的学习。

该掌握nodejs的基础知识必须掌握。

在学习教材的时候，可以借助相关的辅导书，这样更有助于对nodejs基础知识的掌握。在具备一定的基础知识后，可以进行一定量的网课的学习，这是为了更好的去把握重点。在学习的过程中，也可以找一些自己的朋友，一起准备，这样更有一种学习的氛围。也可以相互的交流。

一起交流nodejs的相关知识。另外，自己要主动的去在实际中去应用nodejs的相关的知识。

菜鸟教程——http和Https、SSL

HTTP：是互联网上应用最为广泛的一种网络协议，是一个客户端和服务器端请求和应答的标准（TCP），用于从WWW服务器传输超文本到本地浏览器的传输协议，它可以使浏览器更加高效，使网络传输减少。 HTTPS：是以安全为目标的HTTP通道，简单讲是HTTP的安全版，即HTTP下加入SSL层，HTTPS的安全基础是SSL，因此加密的详细内容就需要SSL。

HTTPS协议的主要作用可以分为两种：一种是建立一个信息安全通道，来保证数据传输的安全；另一种就是确认网站的真实性。

HTTP协议传输的数据都是未加密的，也就是明文的，因此使用HTTP协议传输隐私信息非常不安全，为了保证这些隐私数据能加密传输，于是网景公司设计了SSL（Secure Sockets Layer）协议用于对HTTP协议传输的数据进行加密，从而就诞生了HTTPS。简单来说，HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议，要比http协议安全。 HTTPS和HTTP的区别主要如下： 1、https协议需要到ca申请证书，一般免费证书较少，因而需要一定费用。 2、http是超文本传输协议，信息是明文传输，https则是具有安全性的ssl加密传输协议。

3、http和https使用的是完全不同的连接方式，用的端口也不一样，前者是80，后者是443。 4、http的连接很简单，是无状态的；HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议，比http协议安全。 我们都知道HTTPS能够加密信息，以免敏感信息被第三方获取，所以很多银行网站或电子邮箱等等安全级别较高的服务都会采用HTTPS协议。

客户端在使用HTTPS方式与Web服务器通信时有以下几个步骤，如图所示。 （1）客户使用https的URL访问Web服务器，要求与Web服务器建立SSL连接。 （2）Web服务器收到客户端请求后，会将网站的证书信息（证书中包含公钥）传送一份给客户端。

（3）客户端的浏览器与Web服务器开始协商SSL连接的安全等级，也就是信息加密的等级。 （4）客户端的浏览器根据双方同意的安全等级，建立会话密钥，然后利用网站的公钥将会话密钥加密，并传送给网站。 （5）Web服务器利用自己的私钥解密出会话密钥。

（6）Web服务器利用会话密钥加密与客户端之间的通信。 尽管HTTPS并非绝对安全，掌握根证书的机构、掌握加密算法的组织同样可以进行中间人形式的攻击，但HTTPS仍是现行架构下最安全的解决方案，主要有以下几个好处： （1）使用HTTPS协议可认证用户和服务器，确保数据发送到正确的客户机和服务器； （2）HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议，要比http协议安全，可防止数据在传输过程中不被窃取、改变，确保数据的完整性。 （3）HTTPS是现行架构下最安全的解决方案，虽然不是绝对安全，但它大幅增加了中间人攻击的成本。 （4）谷歌曾在2014年8月份调整搜索引擎算法，并称“比起同等HTTP网站，采用HTTPS加密的网站在搜索结果中的排名将会更高”。

虽然说HTTPS有很大的优势，但其相对来说，还是存在不足之处的： （1）HTTPS协议握手阶段比较费时，会使页面的加载时间延长近50%，增加10%到20%的耗电； （2）HTTPS连接缓存不如HTTP高效，会增加数据开销和功耗，甚至已有的安全措施也会因此而受到影响； （3）SSL证书需要钱，功能越强大的证书费用越高，个人网站、小网站没有必要一般不会用。 （4）SSL证书通常需要绑定IP，不能在同一IP上绑定多个域名，IPv4资源不可能支撑这个消耗。 （5）HTTPS协议的加密范围也比较有限，在黑客攻击、拒绝服务攻击、服务器劫持等方面几乎起不到什么作用。最关键的，SSL证书的信用链体系并不安全，特别是在某些国家可以控制CA根证书的情况下，中间人攻击一样可行。

如果需要将网站从http切换到https到底该如何实现呢？ 这里需要将页面中所有的链接，例如js，css，图片等等链接都由http改为https。例如：http://www.baidu.com改为https://www.baidu.com BTW，这里虽然将http切换为了https，还是建议保留http。所以我们在切换的时候可以做http和https的兼容，具体实现方式是，去掉页面链接中的http头部，这样可以自动匹配http头和https头。例如：将http://www.baidu.com改为//www.baidu.com。

然后当用户从http的入口进入访问页面时，页面就是http，如果用户是从https的入口进入访问页面，页面即使https的。 SSL介绍： 安全套接字（Secure Socket Layer，SSL）协议是Web浏览器与Web服务器之间安全交换信息的协议，提供两个基本的安全服务：鉴别与保密。 SSL是Netscape于1994年开发的，后来成为了世界上最著名的web安全机制，所有主要的浏览器都支持SSL协议。

目前有三个版本：2、3、3.1，最常用的是第3版，是1995年发布的。 在客户端与服务器间传输的数据是通过使用对称算法（如 DES 或 RC4）进行加密的。公用密钥算法（通常为 RSA）是用来获得加密密钥交换和数字签名的，此算法使用服务器的SSL数字证书中的公用密钥。

有了服务器的SSL数字证书，客户端也可以验证服务器的身份。SSL 协议的版本 1 和 2 只提供服务器认证。版本 3 添加了客户端认证，此认证同时需要客户端和服务器的数字证书。SSL协议的三个特性 ① 保密：在握手协议中定义了会话密钥后，所有的消息都被加密。

② 鉴别：可选的客户端认证，和强制的服务器端认证。 ③ 完整性：传送的消息包括消息完整性检查（使用MAC）。 SSL的位置 SSL介于应用层和TCP层之间。

应用层数据不再直接传递给传输层，而是传递给SSL层，SSL层对从应用层收到的数据进行加密，并增加自己的SSL头。 SSL的工作原理 握手协议（Handshake protocol） 记录协议（Record protocol） 警报协议（Alert protocol） 1、握手协议 握手协议是客户机和服务器用SSL连接通信时使用的第一个子协议，握手协议包括客户机与服务器之间的一系列消息。SSL中最复杂的协议就是握手协议。该协议允许服务器和客户机相互验证，协商加密和MAC算法以及保密密钥，用来保护在SSL记录中发送的数据。

握手协议是在应用程序的数据传输之前使用的。 每个握手协议包含以下3个字段 （1）Type：表示10种消息类型之一 （2）Length：表示消息长度字节数 （3）Content：与消息相关的参数 握手协议的4个阶段 1.1 建立安全能力 SSL握手的第一阶段启动逻辑连接，建立这个连接的安全能力。首先客户机向服务器发出client hello消息并等待服务器响应，随后服务器向客户机返回server hello消息，对client hello消息中的信息进行确认。

Client hello消息包括Version，Random，Session id，Cipher suite，Compression method等信息。 ClientHello 客户发送CilentHello信息，包含如下内容： （1）客户端可以支持的S。