uniapp websql注入风险如何防范？

在 UniApp 中，WebSQL 是一种基于浏览器的本地数据库技术，但由于其使用 SQL 查询，存在 SQL 注入风险。以下是防范措施：

1. 避免直接拼接 SQL 查询

不要将用户输入直接拼接到 SQL 语句中，使用参数化查询或预处理语句。

2. 使用参数化查询

WebSQL 支持参数化查询，通过 ? 占位符传递参数，确保输入被安全处理。

示例代码：

// 错误方式：直接拼接（存在注入风险）
let userInput = "1; DROP TABLE users;";
let sql = "SELECT * FROM users WHERE id = " + userInput;

// 正确方式：参数化查询
db.transaction(tx => {
  tx.executeSql(
    "SELECT * FROM users WHERE id = ?",
    [userInput], // 参数作为数组传递
    (tx, results) => {
      console.log("查询成功", results);
    },
    error => {
      console.error("查询失败", error);
    }
  );
});

3. 输入验证与过滤

• 对用户输入进行严格验证（如类型、长度、格式）。
• 过滤特殊字符（如单引号、分号），但参数化查询更可靠。

4. 最小权限原则

确保数据库操作仅限必要权限，避免执行敏感命令（如 DROP）。

5. 考虑替代方案

• WebSQL 已逐渐被淘汰，建议使用 IndexedDB（非 SQL，无注入风险）或本地存储（如 uni.setStorageSync）。
• 对于复杂数据，可搭配云数据库（如 UniCloud）避免本地注入。

总结：

通过参数化查询和输入验证，可有效防范 WebSQL 注入。同时，推荐迁移到更安全的存储方案以提升应用安全性。