Heim > Artikel > Backend-Entwicklung > Wie verkette ich Strings in SQL-Abfragen sicher mit Go?
Während Text-SQL-Abfragen eine unkomplizierte Methode zum Abfragen von Datenbanken bieten, ist es wichtig, den richtigen Ansatz zum Verketten von Zeichenfolgenliteralen mit Werten zu verstehen um Syntaxfehler und Typkonflikte zu vermeiden.
Die bereitgestellte Abfragesyntax:
query := `SELECT column_name FROM table_name WHERE column1_name = %d AND column2_name = %d` % (val1, val2)
führt aufgrund der Verwendung von Tupeln im Python-Stil zu einem Syntaxfehler. Verwenden Sie stattdessen fmt.Sprintf, um die Zeichenfolge und die Werte zu verketten:
query := fmt.Sprintf(`SELECT column_name FROM table_name WHERE column1_name = %d AND column2_name = %d`, val1, val2)
Alternativ können Sie db.Query verwenden, um Zeichenfolgen ohne Zeichenfolgeninterpolation zu verketten:
query := `SELECT column_name FROM table_name WHERE column1_name = %d AND column2_name = %d` rows, err := db.Query(query, val1, val2)
Denken Sie an die Adressinjektion Schwachstellen durch Verwendung vorbereiteter Anweisungen anstelle von String-Interpolation.
Das obige ist der detaillierte Inhalt vonWie verkette ich Strings in SQL-Abfragen sicher mit Go?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!