4

ベクター レイヤー (openlayers) で作成されたフィーチャを websocket 経由で postgreSQL 9.1/postGIS 2.0 に保存しようとしています。ジオメトリとともにフォーム データを挿入しているため、websockets を使用しています。

私のサーバーは NodeJS 0.10.12 と pg モジュールです。

フィーチャのジオメトリを文字列に変換し、文字と括弧を取り除き、数字のみをサーバーに送信しようとしています。ジオメトリに関して、サーバー側で構文エラーが発生します。

多くのことやさまざまな構文を試しても修正できません。

クライアント側 (スニペット)

//create websockets
var so = new WebSocket("ws://localhost:8000");

//error report for websockets   
      so.onerror=function (evt) 
     {saveMSG.textContent = evt;}

//open websockets
 so.onopen = function(){
//get geometry      
 var jak=map.layers[2].features[0].geometry;
//make it a string      
 var as=new String(jak);
//keep the numbers      
 var hul=as.substring(11,as.length-1);
//make it WKT       
 var god=hul.toString();


//send it with stringify/websockets
       so.send(JSON.stringify({command: 'insertAll',
       geo: god,
//send other things from the form....

そしてサーバー側

var packet = JSON.parse(msg.utf8Data);
switch (packet['command']) 
{case 'insertAll':insertEm(packet['geo']) ;break;
//other cases here...call function according to case...
//so "insertAll" calls the following

function insertEm(geo){
//get client data, put them in place and create a string
var met="ST_GeomFromText('LINESTRING("+geo+")',900913)";
var pra=new String(met);

//connect to db and execute prepared statement
var conString = "pg://user:user@localhost:5432/myDB";

var client = new pg.Client(conString);
client.connect();

var query = client.query({name:"inser", text:"INSERT INTO pins(p_geom) values($1)", values:[pra]});

エラーが発生します: [error: parse error - invalid geometry] hint: '"ST"<-- parse error a position 2 within geometry']

それで、準備されたステートメントが間違っているのではないかと思いましたか?

次のような単純なクエリに切り替えました。

var query = client.query("INSERT INTO pins (p_geom) values('"+pra+"')")

エラーが発生します

[error: syntax error at or near "LINESTRING"]

私が入れたクエリの最後に query.on("end", function (result) {console.log(result);connection.send(pra); client.end();});

したがって、クライアントがサーバーに送信するものを見ることができます。私は得る

ST_GeomFromText('LINESTRING(2335859.0225 4725430.1340625,2378933.155 4741356.7040625)',900913)

どちらがよさそう...

助言がありますか?これを修正する方法が本当にわかりません。

4

1 に答える 1

5

このクエリでは:

var query = client.query("INSERT INTO pins (p_geom) values('"+pra+"')")

引用するべきではありませんpra。これは ST_GeomFromText 関数呼び出しを引用し、送信されたクエリは次のようになります。

var query = client.query("INSERT INTO pins (p_geom) values('ST_GeomFromText('LINESTRING(2335859.0225 4725430.1340625,2378933.155 4741356.7040625)',900913)')")

PostGIS は、エスケープされていない一重引用符が途中にある不適切な形式の文字列を送信しようとしていると考えています。

これを行うようにクエリ文字列ビルダーを切り替えると、次のように動作するはずです。

var query = client.query("INSERT INTO pins (p_geom) values("+pra+")")

しかし、これをしないでください

誰かが HTTP リクエストをハッキングして、予期しているジオメトリ WKT の代わりに何か卑劣なものを送信する可能性があるため、SQL インジェクション攻撃を受ける可能性があります。フレームワークの一部の安全機能をバイパスするため、Web ブラウザからの入力をデータベース クエリに埋め込むために文字列連結を使用しないでください。

ここで、パラメーター化されたクエリを使用する最初の試みに戻ります。

node.js ライブラリは、DB に挿入するパラメータを準備しようとしており、それを文字列のように扱い、一重引用符で囲み、埋め込まれたすべての一重引用符をエスケープしています。これにより、クエリが次のように PostGIS に送信されます。

INSERT INTO pins(p_geom) values('ST_GeomFromText(''LINESTRING(2335859.0225 4725430.1340625,2378933.155 4741356.7040625)'',900913)')

PostGIS は、文字列を解析してジオメトリに変換しようとしますが、有効なジオメトリは "ST" で始まらないと不平を言います。

ST_GeomFromText(...)String パラメーターとして渡す代わりに、実際には文字列であるクエリの一部 ( WKT ) を渡すだけです。このようなもの:

var wkt = "LINESTRING("+geo+")";

var query = client.query('INSERT INTO pins(p_geom) values(ST_GeomFromText(?,900913))', [wkt])

于 2013-08-13T02:02:55.500 に答える