express.jsでエンドポイントのパラメータ文字列全てをエスケープする必要がありますか?

実現したいこと

エスケープする必要が無い部分をエスケープせずに済ませたい

前提

Express.js のすべてのパラメータをエスケープする必要がありますか?

サーバー側ではnode.jsとexpress.jsを使用していますが、SQLドライバーはbetter-sqlite3 encodeURIComponent() を使用してエンドポイントが受け取る全てのパラメータをエスケープする必要がありますか? クライアント側はsvelte内でXSS対策されているので、XSS対策は不要だと思います。 SQL インジェクション対策はbetter-sqlite3 のプリペアドステートメントで対策されているはずです。そして、本題ですが、文字列全てをescapeするコードを書くべきでしょうか? encodeURIComponent() で全ての文字列をescapeすべきですか？アドバイスをお願いします。

発生している問題・エラーメッセージ

すべて（110パラメータ）req.body.ANYPARAM文字列をエスケープした。変更した後に必要性があるのか疑問を持った。

該当のソースコード

サーバーサイドの1238行のコードを載せてはいけないと思ったので省略。

試したこと

すべて（110パラメータ）req.body.ANYPARAM文字列をエスケープした。変更した後に必要性があるのか疑問を持った。

補足情報（FW/ツールのバージョンなど）

サーバー側ではnode.jsとexpress.jsを使用していますが、SQLドライバーはbetter-sqlite3 。クライアントサイドはsvelte。

退会済みユーザー

2024/02/08 04:15

前提が何もない状態なら… > エンドポイントが受け取る全てのパラメータをエスケープする必要がありますか? あります。クライアントはHTTP(HTTPS)を話せればいいだけなので、サーバーが送付したHTMLなりJavaScriptなりに従う必要はありません。悪意を持つユーザーの想定が必要です。 > svelte内でXSS対策されているので、XSS対策は不要だと思います必要です。クライアントはHTTP(HTTPS)を話せればいいだけなので、サーバーが送付したHTMLなりJavaScriptなりに従う必要はありません。悪意を持つユーザーの想定が必要です。 > 文字列全てをescapeするコードを書くべきでしょうか? はい。今私に選別する材料がないので。 > encodeURIComponent() で全ての文字列をescapeすべきですか？はい。今私に選別する材料がないので。 > サーバーサイドの1238行のコードを載せてはいけないと思ったので省略。省略するのではなく、気にしていることを再現できる最小限のコードを「作成して」載せましょう。