Interaksi Pangkalan Data Golang Selamat: Mencegah Suntikan SQL
Dalam landskap pembangunan hari ini, amalan pengekodan yang selamat adalah yang terpenting. Artikel ini memfokuskan pada melindungi aplikasi Golang daripada kelemahan suntikan SQL, ancaman biasa apabila berinteraksi dengan pangkalan data. Kami akan meneroka teknik pencegahan menggunakan rangka kerja SQL mentah dan Pemetaan Hubungan Objek (ORM).
Memahami SQL Injection
SQL Injection (SQLi) ialah kecacatan keselamatan web yang kritikal. Penyerang mengeksploitasinya dengan menyuntik kod SQL berniat jahat ke dalam pertanyaan pangkalan data, yang berpotensi menjejaskan integriti data dan keselamatan aplikasi.
Contoh pertanyaan yang terdedah:
query := "SELECT * FROM users WHERE username='" + username + "' AND password='" + password + "'" rows, err := db.Query(query)
Input berniat jahat dalam username atau password boleh mengubah logik pertanyaan.
Untuk pemahaman yang lebih mendalam tentang suntikan SQL, rujuk siaran lain ini.
Menjaga Pertanyaan SQL Mentah
Apabila bekerja secara langsung dengan SQL, utamakan langkah keselamatan ini:
1. Penyata Disediakan: Pakej database/sql Go menawarkan kenyataan yang disediakan, pertahanan penting terhadap SQLi.
Contoh Terdedah:
query := "SELECT * FROM users WHERE username='" + username + "' AND password='" + password + "'" rows, err := db.Query(query) // Vulnerable to SQL injection
Versi Selamat (Pernyataan Disediakan):
query := "SELECT * FROM users WHERE username = ? AND password = ?"
rows, err := db.Query(query, username, password)
if err != nil {
log.Fatal(err)
}
Penyata yang disediakan secara automatik melepaskan input pengguna, menghalang suntikan.
2. Pertanyaan Berparameter: Gunakan db.Query atau db.Exec dengan ruang letak untuk pertanyaan berparameter:
query := "INSERT INTO products (name, price) VALUES (?, ?)"
_, err := db.Exec(query, productName, productPrice)
if err != nil {
log.Fatal(err)
}
Elakkan penyambungan rentetan atau fmt.Sprintf untuk pertanyaan dinamik.
3. QueryRow untuk Rekod Tunggal: Untuk mendapatkan semula satu baris, QueryRow meminimumkan risiko:
query := "SELECT id, name FROM users WHERE email = ?"
var id int
var name string
err := db.QueryRow(query, email).Scan(&id, &name)
if err != nil {
log.Fatal(err)
}
4. Pengesahan Input dan Sanitasi: Walaupun dengan kenyataan yang disediakan, sahkan dan bersihkan input:
- Sanitasi: Mengalih keluar aksara yang tidak diingini.
- Pengesahan: Menyemak format input, jenis dan panjang.
Contoh Pengesahan Input Go:
func isValidUsername(username string) bool {
re := regexp.MustCompile(`^[a-zA-Z0-9_]+$`)
return re.MatchString(username)
}
if len(username) > 50 || !isValidUsername(username) {
log.Fatal("Invalid input")
}
5. Prosedur Tersimpan: Merangkum logik pertanyaan dalam prosedur tersimpan pangkalan data:
CREATE PROCEDURE AuthenticateUser(IN username VARCHAR(50), IN password VARCHAR(50))
BEGIN
SELECT * FROM users WHERE username = username AND password = password;
END;
Panggilan daripada Go:
_, err := db.Exec("CALL AuthenticateUser(?, ?)", username, password)
if err != nil {
log.Fatal(err)
}
Mencegah Suntikan SQL dengan ORM
ORM seperti GORM dan XORM memudahkan interaksi pangkalan data, tetapi amalan selamat masih penting.
1. GORM:
Contoh Rentan (Pertanyaan Dinamik):
db.Raw("SELECT * FROM users WHERE name = '" + userName + "'").Scan(&user)
Contoh Selamat (Pertanyaan Berparameter):
db.Raw("SELECT * FROM users WHERE name = ? AND email = ?", userName, email).Scan(&user)
Kaedah GORM Raw menyokong pemegang tempat. Lebih suka kaedah terbina dalam GORM seperti Where:
query := "SELECT * FROM users WHERE username='" + username + "' AND password='" + password + "'" rows, err := db.Query(query)
2. Elakkan SQL Mentah untuk Pertanyaan Kompleks: Gunakan ruang letak walaupun dengan pertanyaan mentah yang kompleks.
3. Teg Struktur untuk Pemetaan Selamat: Gunakan tag struktur untuk pemetaan ORM selamat:
query := "SELECT * FROM users WHERE username='" + username + "' AND password='" + password + "'" rows, err := db.Query(query) // Vulnerable to SQL injection
Kesilapan Biasa yang Perlu Dielakkan:
- Elakkan Rangkaian Rentetan dalam Pertanyaan.
- Elakkan Fungsi ORM Melangkau Pemeriksaan Keselamatan.
- Jangan Percayai Input Pengguna Tanpa Pengesahan.
Kesimpulan
Golang menyediakan alatan yang mantap untuk interaksi pangkalan data yang selamat. Dengan menggunakan pernyataan yang disediakan, pertanyaan berparameter, ORM dengan betul dan mengesahkan serta membersihkan input pengguna dengan teliti, anda mengurangkan risiko kelemahan suntikan SQL dengan ketara.
Hubungi saya di:
- GitHub
- Twitter/X
Atas ialah kandungan terperinci Mencegah Suntikan SQL dengan SQL Mentah dan ORM di Golang. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!
Golang vs Python: Konvensyen dan MultithreadingApr 17, 2025 am 12:20 AMGolang lebih sesuai untuk tugas -tugas kesesuaian yang tinggi, sementara Python mempunyai lebih banyak kelebihan dalam fleksibiliti. 1.Golang dengan cekap mengendalikan kesesuaian melalui goroutine dan saluran. 2. Pilihannya harus berdasarkan keperluan khusus.
Golang dan C: Perdagangan dalam prestasiApr 17, 2025 am 12:18 AMPerbezaan prestasi antara Golang dan C terutamanya ditunjukkan dalam pengurusan ingatan, pengoptimuman kompilasi dan kecekapan runtime. 1) Mekanisme pengumpulan sampah Golang adalah mudah tetapi boleh menjejaskan prestasi, 2) Pengurusan memori manual C dan pengoptimuman pengkompil lebih cekap dalam pengkomputeran rekursif.
Golang vs Python: Aplikasi dan Kes GunakanApr 17, 2025 am 12:17 AMPilihgolangforhighperformanceandConcurrency, IdealForBackEndServicesandnetworkprogramming; SelectPythonForrapidDevelopment, datascience, danMachinelearningDuetoitSversativilityAndextiveLibraries.
Golang vs Python: Perbezaan dan Persamaan UtamaApr 17, 2025 am 12:15 AMGolang dan Python masing -masing mempunyai kelebihan mereka sendiri: Golang sesuai untuk prestasi tinggi dan pengaturcaraan serentak, sementara Python sesuai untuk sains data dan pembangunan web. Golang terkenal dengan model keserasiannya dan prestasi yang cekap, sementara Python terkenal dengan sintaks ringkas dan ekosistem perpustakaan yang kaya.
Golang vs Python: Kemudahan Penggunaan dan Keluk PembelajaranApr 17, 2025 am 12:12 AMDalam apa aspek Golang dan Python lebih mudah digunakan dan mempunyai lengkung pembelajaran yang lebih lancar? Golang lebih sesuai untuk kesesuaian tinggi dan keperluan prestasi tinggi, dan lengkung pembelajaran agak lembut untuk pemaju dengan latar belakang bahasa C. Python lebih sesuai untuk sains data dan prototaip cepat, dan lengkung pembelajaran sangat lancar untuk pemula.
Perlumbaan Prestasi: Golang vs CApr 16, 2025 am 12:07 AMGolang dan C masing-masing mempunyai kelebihan sendiri dalam pertandingan prestasi: 1) Golang sesuai untuk kesesuaian tinggi dan perkembangan pesat, dan 2) C menyediakan prestasi yang lebih tinggi dan kawalan halus. Pemilihan harus berdasarkan keperluan projek dan tumpukan teknologi pasukan.
Golang vs C: Contoh kod dan analisis prestasiApr 15, 2025 am 12:03 AMGolang sesuai untuk pembangunan pesat dan pengaturcaraan serentak, manakala C lebih sesuai untuk projek yang memerlukan prestasi yang melampau dan kawalan asas. 1) Model Concurrency Golang memudahkan pengaturcaraan konvensyen melalui goroutine dan saluran. 2) Pengaturcaraan templat C menyediakan kod generik dan pengoptimuman prestasi. 3) Koleksi sampah Golang adalah mudah tetapi boleh menjejaskan prestasi. Pengurusan memori C adalah rumit tetapi kawalannya baik -baik saja.
Impak Golang: Kelajuan, Kecekapan, dan KesederhanaanApr 14, 2025 am 12:11 AMGoimpactsdevelopmentpositivielythroughspeed, efficiency, andsimplicity.1) Speed: goCompilesquicklyandrunsefficiently, idealforlargeproject.2) Kecekapan: ITSComprehensivestandardlibraryraryrarexternaldependencies, enhingdevelyficiency.
Alat AI Hot
Undresser.AI Undress
Apl berkuasa AI untuk mencipta foto bogel yang realistik
AI Clothes Remover
Alat AI dalam talian untuk mengeluarkan pakaian daripada foto.
Undress AI Tool
Gambar buka pakaian secara percuma
Clothoff.io
Penyingkiran pakaian AI
AI Hentai Generator
Menjana ai hentai secara percuma.
Artikel Panas
Alat panas
Notepad++7.3.1
Editor kod yang mudah digunakan dan percuma
SecLists
SecLists ialah rakan penguji keselamatan muktamad. Ia ialah koleksi pelbagai jenis senarai yang kerap digunakan semasa penilaian keselamatan, semuanya di satu tempat. SecLists membantu menjadikan ujian keselamatan lebih cekap dan produktif dengan menyediakan semua senarai yang mungkin diperlukan oleh penguji keselamatan dengan mudah. Jenis senarai termasuk nama pengguna, kata laluan, URL, muatan kabur, corak data sensitif, cangkerang web dan banyak lagi. Penguji hanya boleh menarik repositori ini ke mesin ujian baharu dan dia akan mempunyai akses kepada setiap jenis senarai yang dia perlukan.
Hantar Studio 13.0.1
Persekitaran pembangunan bersepadu PHP yang berkuasa
DVWA
Damn Vulnerable Web App (DVWA) ialah aplikasi web PHP/MySQL yang sangat terdedah. Matlamat utamanya adalah untuk menjadi bantuan bagi profesional keselamatan untuk menguji kemahiran dan alatan mereka dalam persekitaran undang-undang, untuk membantu pembangun web lebih memahami proses mengamankan aplikasi web, dan untuk membantu guru/pelajar mengajar/belajar dalam persekitaran bilik darjah Aplikasi web keselamatan. Matlamat DVWA adalah untuk mempraktikkan beberapa kelemahan web yang paling biasa melalui antara muka yang mudah dan mudah, dengan pelbagai tahap kesukaran. Sila ambil perhatian bahawa perisian ini
ZendStudio 13.5.1 Mac
Persekitaran pembangunan bersepadu PHP yang berkuasa
