如何在使用"database/ SQL“的同时防止Go中的sql注入攻击?
如何在使用"database/ SQL“的同时防止Go中的sql注入攻击?
提问于 2014-10-14 01:12:26
构建我的第一个web应用程序,希望更好地理解SQL注入(https://github.com/astaxie/build-web-application-with-golang/blob/master/en/eBook/09.4.md)。
总是使用'database/ SQL‘库并使用'?’构造查询,对sql注入有多大的保护作用?而不是连接字符串?在这种情况下,我还需要担心哪种SQL注入攻击?
回答 2
Stack Overflow用户
回答已采纳
发布于 2014-10-14 01:15:00
只要你在使用Prepare或Query,你就是安全的。
// this is safe
db.Query("SELECT name FROM users WHERE age=?", req.FormValue("age"))
// this allows sql injection.
db.Query("SELECT name FROM users WHERE age=" + req.FormValue("age"))Stack Overflow用户
发布于 2019-07-29 20:10:18
我同意@Oneonone的回答。
如果要检索数据,请执行以下操作:
db.Query("SELECT name FROM users WHERE age=?", req.FormValue("age"))如果您必须使用相同的查询安全地插入大量数据,这就是Prepare派上用场的地方。你可以这样做:
tx, err := db.Begin()
if err != nil {
return nil,err
}
stmt, err := tx.Prepare("INSERT INTO users VALUES (?, ?)")
if err != nil {
tx.Rollback()
return nil,err
}
defer
for i := 0; i < 10; i++ {
_, err = stmt.Exec(i, "dummy")
if err != nil {
tx.Rollback()
return nil,err
}
}
err = tx.Commit()
if err != nil {
stmt.Close()
tx.Rollback()
return nil,err
}
stmt.Close()
return someValue, nil页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/26345318
复制相关文章
相似问题
腾讯云开发者
