gpt4 book ai didi

sql - 在 Go Postgresql 中防止 SQL 注入(inject)

转载 作者:行者123 更新时间:2023-12-02 11:25:46 30 4
gpt4 key购买 nike

我在 Go 中的 postgresql 注入(inject)论坛进行了研究,发现了一些有关 SQL 注入(inject)的有用信息,如下所示:

How to execute an IN lookup in SQL using Golang?

How can I prevent SQL injection attacks in Go while using "database/sql"?

但我仍然需要一些建议,因为我在 Go 中的代码使用了不同类型的代码和用例。我需要建议的一些用例/问题是这样的

  1. 使用查询循环进行多次插入,例如INSERT INTO a (a1,a2,a3) VALUES (%d,%d,%s) 使用 fmt.Sprintf,我知道使用 sprinft 不好。那么对于插入的这个循环查询有什么解决方案吗?例如:插入一个 (a1,a2,a3) 值 (%d,%d,%s),(%d,%d,%s),(%d,%d,%s)
  2. 如果参数使用 %d 而不是 %s,使用 fmt.Sprintf 生成查询是否安全?
  3. 使用 Prepare 语句和 Query 是安全的,但是如果我使用函数 Select(使用 $1、$2)和函数 NamedQuery(使用 struct named.)例如:Select * from a where text = $1 -> 使用这个 $1 安全吗?和例如:Select * from a where text = :text -> 这在函数 NamedQuery 中安全吗?

请大家多多指教。谢谢!

最佳答案

首先,通常更喜欢使用 db 占位符? $1 等

  1. 是的,使用带有整数参数的 fmt.Sprintf 来构建 SQL 是安全的,尽管如果可以的话值得避免,但是你的第三个参数是 %s - 避免它并使用 ?
  2. 是的,将 fmt.Sprintf 与整数参数一起使用是安全的,但是 %s 或 %v 的风险要大得多,我会避免,想不出你为什么需要它。
  3. 在这里使用占位符,那么它是安全的。

一般规则:

  • 默认使用占位符,应该很少使用 %d(例如在您的 IN 查询中)
  • 在任何验证或使用之前将参数解析为整数等类型
  • 尽可能避免字符串连接,并特别注意字符串参数
  • 始终对列名和表名等内容进行硬编码,从不根据用户输入生成它们(例如?sort=mystringcolname)
  • 始终验证您获得的参数仅是该用户授权的参数

关于sql - 在 Go Postgresql 中防止 SQL 注入(inject),我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/64170519/

30 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com