Mencegah Suntikan SQL dengan SQL Mentah dan ORM di Golang

Interaksi Pangkalan Data Golang Selamat: Mencegah Suntikan SQL

Dalam landskap pembangunan hari ini, amalan pengekodan yang selamat adalah yang terpenting. Artikel ini memfokuskan pada melindungi aplikasi Golang daripada kelemahan suntikan SQL, ancaman biasa apabila berinteraksi dengan pangkalan data. Kami akan meneroka teknik pencegahan menggunakan rangka kerja SQL mentah dan Pemetaan Hubungan Objek (ORM).

---

Memahami SQL Injection

SQL Injection (SQLi) ialah kecacatan keselamatan web yang kritikal. Penyerang mengeksploitasinya dengan menyuntik kod SQL berniat jahat ke dalam pertanyaan pangkalan data, yang berpotensi menjejaskan integriti data dan keselamatan aplikasi.

Contoh pertanyaan yang terdedah:

<code class="language-go">query := "SELECT * FROM users WHERE username='" + username + "' AND password='" + password + "'"
rows, err := db.Query(query)</code>

Input berniat jahat dalam username atau password boleh mengubah logik pertanyaan.

Untuk pemahaman yang lebih mendalam tentang suntikan SQL, rujuk siaran lain ini.

---

Menjaga Pertanyaan SQL Mentah

Apabila bekerja secara langsung dengan SQL, utamakan langkah keselamatan ini:

1. Penyata Disediakan: Pakej database/sql Go menawarkan kenyataan yang disediakan, pertahanan penting terhadap SQLi.

Contoh Terdedah:

<code class="language-go">query := "SELECT * FROM users WHERE username='" + username + "' AND password='" + password + "'"
rows, err := db.Query(query) // Vulnerable to SQL injection</code>

Versi Selamat (Pernyataan Disediakan):

<code class="language-go">query := "SELECT * FROM users WHERE username = ? AND password = ?"
rows, err := db.Query(query, username, password)
if err != nil {
    log.Fatal(err)
}</code>

Penyata yang disediakan secara automatik melepaskan input pengguna, menghalang suntikan.

2. Pertanyaan Berparameter: Gunakan db.Query atau db.Exec dengan ruang letak untuk pertanyaan berparameter:

<code class="language-go">query := "INSERT INTO products (name, price) VALUES (?, ?)"
_, err := db.Exec(query, productName, productPrice)
if err != nil {
    log.Fatal(err)
}</code>

Elakkan penyambungan rentetan atau fmt.Sprintf untuk pertanyaan dinamik.

3. QueryRow untuk Rekod Tunggal: Untuk mendapatkan semula satu baris, QueryRow meminimumkan risiko:

<code class="language-go">query := "SELECT id, name FROM users WHERE email = ?"
var id int
var name string
err := db.QueryRow(query, email).Scan(&id, &name)
if err != nil {
    log.Fatal(err)
}</code>

4. Pengesahan Input dan Sanitasi: Walaupun dengan kenyataan yang disediakan, sahkan dan bersihkan input:

• Sanitasi: Mengalih keluar aksara yang tidak diingini.
• Pengesahan: Menyemak format input, jenis dan panjang.

Contoh Pengesahan Input Go:

<code class="language-go">func isValidUsername(username string) bool {
    re := regexp.MustCompile(`^[a-zA-Z0-9_]+$`)
    return re.MatchString(username)
}

if len(username) > 50 || !isValidUsername(username) {
    log.Fatal("Invalid input")
}</code>

5. Prosedur Tersimpan: Merangkum logik pertanyaan dalam prosedur tersimpan pangkalan data:

<code class="language-sql">CREATE PROCEDURE AuthenticateUser(IN username VARCHAR(50), IN password VARCHAR(50))
BEGIN
    SELECT * FROM users WHERE username = username AND password = password;
END;</code>

Panggilan daripada Go:

<code class="language-go">_, err := db.Exec("CALL AuthenticateUser(?, ?)", username, password)
if err != nil {
    log.Fatal(err)
}</code>

---

Mencegah Suntikan SQL dengan ORM

ORM seperti GORM dan XORM memudahkan interaksi pangkalan data, tetapi amalan selamat masih penting.

1. GORM:

Contoh Rentan (Pertanyaan Dinamik):

<code class="language-go">db.Raw("SELECT * FROM users WHERE name = '" + userName + "'").Scan(&user)</code>

Contoh Selamat (Pertanyaan Berparameter):

<code class="language-go">db.Raw("SELECT * FROM users WHERE name = ? AND email = ?", userName, email).Scan(&user)</code>

Kaedah

GORM Raw menyokong pemegang tempat. Lebih suka kaedah terbina dalam GORM seperti Where:

<code class="language-go">query := "SELECT * FROM users WHERE username='" + username + "' AND password='" + password + "'"
rows, err := db.Query(query)</code>

2. Elakkan SQL Mentah untuk Pertanyaan Kompleks: Gunakan ruang letak walaupun dengan pertanyaan mentah yang kompleks.

3. Teg Struktur untuk Pemetaan Selamat: Gunakan tag struktur untuk pemetaan ORM selamat:

<code class="language-go">query := "SELECT * FROM users WHERE username='" + username + "' AND password='" + password + "'"
rows, err := db.Query(query) // Vulnerable to SQL injection</code>

Kesilapan Biasa yang Perlu Dielakkan:

1. Elakkan Rangkaian Rentetan dalam Pertanyaan.
2. Elakkan Fungsi ORM Melangkau Pemeriksaan Keselamatan.
3. Jangan Percayai Input Pengguna Tanpa Pengesahan.

---

Kesimpulan

Golang menyediakan alatan yang mantap untuk interaksi pangkalan data yang selamat. Dengan menggunakan pernyataan yang disediakan, pertanyaan berparameter, ORM dengan betul dan mengesahkan serta membersihkan input pengguna dengan teliti, anda mengurangkan risiko kelemahan suntikan SQL dengan ketara.

Hubungi saya di:

• LinkedIn
• GitHub
• Twitter/X

Atas ialah kandungan terperinci Mencegah Suntikan SQL dengan SQL Mentah dan ORM di Golang. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!