Comment résoudre les problèmes de sécurité courants dans le framework Golang ?

Comment résoudre les problèmes de sécurité courants dans le framework Go

Avec l'adoption généralisée du framework Go dans le développement Web, assurer sa sécurité est crucial. Voici un guide pratique pour résoudre les problèmes de sécurité courants, avec un exemple de code :

1. Injection SQL

Utilisez des instructions préparées ou des requêtes paramétrées pour empêcher les attaques par injection SQL. Par exemple :

const query = "SELECT * FROM users WHERE username = ?"
stmt, err := db.Prepare(query)
if err != nil {
    // Handle error
}
err = stmt.QueryRow(username).Scan(&user)
if err != nil {
    // Handle error
}

2. Cross-site scripting (XSS)

Encodez ou désinfectez les entrées utilisateur pour empêcher les attaques XSS. Par exemple :

template.HTMLEscape(unsafeString)

3. CSRF

Utilisez des jetons ou une authentification multifacteur pour empêcher les attaques CSRF. Par exemple :

// 生成 CSRF 令牌
csrfToken := GenerateCSRFToken()

// 添加到表单中
<input type="hidden" name="csrf_token" value="{{ csrfToken }}">

// 验证令牌
if request.FormValue("csrf_token") != csrfToken {
    // CSRF 攻击，拒绝请求
}

4. Vulnérabilité de téléchargement de fichiers

Effectuez une vérification stricte des fichiers téléchargés par les utilisateurs pour empêcher les vulnérabilités de téléchargement de fichiers. Par exemple :

// 检查文件类型是否为图像
mimeType := http.DetectContentType(file)
if !strings.HasPrefix(mimeType, "image/") {
    // 不是图像，拒绝上传
}

5. En-têtes de sécurité

Définissez des en-têtes de sécurité appropriés pour protéger les applications contre les attaques courantes, telles que :

func setSecurityHeaders(w http.ResponseWriter) {
    // 设置 X-Frame-Options 标头以防止 Clickjacking
    w.Header().Set("X-Frame-Options", "SAMEORIGIN")

    // 设置 X-XSS-Protection 标头以防止 XSS
    w.Header().Set("X-XSS-Protection", "1; mode=block")
}

Cas pratique : Prévenir l'injection SQL

Envisagez d'utiliser le modèle GORM pour gérer les bases de données de manière interactive. situations. Dans l'exemple suivant, nous utilisons des instructions préparées pour empêcher l'injection SQL :

import "github.com/jinzhu/gorm"

func GetUser(db *gorm.DB, username string) (*User, error) {
    stmt := db.Debug().Where("username = ?", username)
    var user User
    if err := stmt.First(&user).Error; err != nil {
        return nil, err
    }
    return &user, nil
}

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!