我是neo4j的新手,负责编写一些密码注入测试。我们正在使用参数化,但我正在编写测试,以防有人将其更改为使用字符串 concat。我需要在测试中检查一个示例查询,但我不完全确定什么是好的查询。我正在考虑使用 MATCH (n) DETACH DELETE n 删除所有节点和关系,但我不确定我是否需要在开头添加引号或其他内容,以便它结束字符串并运行查询?就像"MATCH (n) DETACH DELETE n一样.这行得通还是我可以使用更好的东西?感谢您的任何帮助!
此查询与您询问的内容不同:
以下是获取用户的两种方法:
- 字符串连接:
"匹配 (u:USER) 其中 u.id = " + id + " 返回 u"
- 参数化:
"MATCH (u:USER) WHERE u.id = {id} RETURN u"
您可以通过在两个查询中传递 id 的值来检查,例如:
1 或 1=1
或 id 的最差值,例如:
1 或 1=1
与你
分离删除 u