您现在的位置是：网站首页 > 动态代码生成（'eval' 或 'new Function' 拼 SQL）文章详情

动态代码生成（'eval' 或 'new Function' 拼 SQL）

陈川【前端综合】 63331人已围观 2320字

动态代码生成在前端开发中是一种强大的技术，通过 eval 或 new Function 可以动态执行字符串代码，但同时也带来了安全风险。尤其在拼接 SQL 语句时，不当使用可能导致 SQL 注入漏洞。如何安全地利用动态代码生成，是开发者需要深入思考的问题。

动态代码生成的基本概念

动态代码生成指的是在运行时将字符串解析为可执行的代码。JavaScript 提供了两种主要方式：

eval：直接执行字符串形式的代码。

const code = 'console.log("Hello, eval!")';
eval(code); // 输出: Hello, eval!

new Function：通过构造函数生成函数对象。

const add = new Function('a', 'b', 'return a + b');
console.log(add(2, 3)); // 输出: 5

两者的区别在于作用域：

eval 在执行时会访问当前作用域的变量。
new Function 创建的函数仅在全局作用域中运行。

动态生成 SQL 语句的风险

直接拼接用户输入生成 SQL 语句是常见的安全隐患。例如：

const userInput = "admin'; DROP TABLE users;--";
const sql = `SELECT * FROM users WHERE username = '${userInput}'`;
eval(`query('${sql}')`); // 导致 SQL 注入

攻击者通过输入恶意字符串，可以破坏数据库或窃取数据。即使使用 new Function，直接拼接字符串同样危险：

const query = new Function('sql', `return db.query(sql)`);
query(`SELECT * FROM users WHERE username = '${userInput}'`);

安全实践：参数化查询

避免动态拼接 SQL 的关键是使用参数化查询。以下是几种方案：

1. 使用预处理语句

现代数据库库（如 mysql2 或 pg）支持占位符：

const sql = 'SELECT * FROM users WHERE username = ?';
db.execute(sql, [userInput]); // 安全

2. 手动转义输入

如果必须拼接，需严格转义：

function escapeSql(value) {
  return value.replace(/'/g, "''");
}
const safeInput = escapeSql(userInput);
const sql = `SELECT * FROM users WHERE username = '${safeInput}'`;

3. 使用 ORM 框架

ORM（如 Sequelize、TypeORM）自动处理参数化：

User.findOne({ where: { username: userInput } }); // 安全

动态代码生成的替代方案

如果目标是动态逻辑（而非 SQL），可以考虑以下安全替代方案：

1. 使用对象映射

const operations = {
  add: (a, b) => a + b,
  subtract: (a, b) => a - b
};
const action = 'add';
operations[action]?.(2, 3); // 输出: 5

2. 沙箱环境

通过 iframe 或 Web Worker 隔离动态代码：

const workerCode = `self.onmessage = (e) => { postMessage(eval(e.data)); }`;
const blob = new Blob([workerCode], { type: 'text/javascript' });
const worker = new Worker(URL.createObjectURL(blob));
worker.postMessage('2 + 3'); // 结果通过事件返回