golang mysql évasion

Lorsque vous utilisez Golang pour faire fonctionner MySQL, éviter les attaques par injection SQL est un problème important. Pour garantir la sécurité des instructions SQL, échappez les caractères requis avant de les envoyer à MySQL afin que ces caractères ne soient pas interprétés comme faisant partie de l'instruction SQL, empêchant ainsi les attaques par injection SQL.

Dans Golang, la gestion des échappements MySQL peut être effectuée en utilisant la méthode Escape dans le pilote MySQL, qui renvoie une chaîne d'échappement.

Ci-dessous, nous utilisons un exemple pour montrer comment utiliser la méthode Escape dans le pilote MySQL pour l'évasion MySQL. Nous supposons que nous souhaitons interroger les résultats de la recherche sur la valeur transmise par l'utilisateur via l'URL en tant que mot-clé, par exemple :

SELECT * FROM users WHERE name = '[输入的关键字]';

Supposons que ce mot-clé soit un objet chaîne. Il peut y avoir des guillemets simples, des guillemets doubles ou d'autres caractères spéciaux. symboles Ces symboles spéciaux peuvent provoquer des attaques par injection SQL.

La première méthode consiste à filtrer manuellement ces symboles spéciaux et à utiliser la méthode Replace de la bibliothèque de chaînes de Golang ou la méthode de remplacement des expressions régulières pour s'échapper. Si le filtrage manuel n'est pas approfondi, non seulement il sera impossible d'empêcher l'injection SQL, mais mais cela peut même affecter la saisie de l'utilisateur. Les caractères sont surtraités, ce qui entraîne des échecs ou des erreurs.

Par conséquent, nous utilisons généralement la méthode Escape dans le pilote MySQL pour le traitement interne. Cette méthode échappera tous les caractères spéciaux (tels que les guillemets simples, les guillemets doubles, les barres obliques inverses) en caractères sûrs pour garantir la sécurité de l'instruction de requête. Voici un exemple de code d'échappement basé sur le pilote MySQL :

import (
    "database/sql"
    _ "github.com/go-sql-driver/mysql"
    "fmt"
)

func main() {
    username := "root"
    password := ""
    host := "localhost"
    port := "3306"
    dbName := "testdb"
    db, err := sql.Open("mysql", fmt.Sprintf("%s:%s@tcp(%s:%s)/%s?charset=utf8", username, password, host, port, dbName))
    if err != nil {
        panic(err)
    }
    defer db.Close()

    keyword := "' OR 1=1 #"
    query := fmt.Sprintf("SELECT * FROM users WHERE name = '%s'", db.Escape(keyword))
    rows, err := db.Query(query)
    if err != nil {
        panic(err)
    }
    defer rows.Close()

    // 处理查询结果
}

Dans l'exemple ci-dessus, nous utilisons le package base de données/sql de Golang pour nous connecter à la base de données MySQL et créer un objet db, qui contient la base de données MySQL à laquelle nous devons nous connecter. .informations connexes. Nous avons utilisé la méthode Escape pour traiter les mots-clés d'entrée. En utilisant cette méthode, nous avons échappé tous les caractères spéciaux lors de la génération des instructions de requête SQL, afin d'éviter les attaques par injection SQL.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!