如何防禦 SQL 注入:使用參數化查詢: 將使用者輸入作為查詢的參數而不是包含在查詢字串中。使用 SQLX 套件: 使用 SQLX 函式庫透過命名查詢和占位符參數化查詢。驗證輸入: 在使用使用者輸入進行 SQL 查詢之前,請先驗證其有效性。
如何在Go 中防禦SQL 注入
SQL 注入是一種常見的Web 應用程式安全漏洞,它允許攻擊者透過修改SQL 查詢來存取或修改未經授權的資料。要在Go 中預防SQL 注入,你可以採取以下步驟:
1. 使用參數化查詢
參數化查詢將使用者輸入作為查詢的參數而不是直接包含在查詢字串中。這可以防止攻擊者修改查詢來注入惡意程式碼。
範例:
import ( "database/sql" "fmt" ) func main() { db, err := sql.Open("mysql", "root:password@/database_name") if err != nil { panic(err) } defer db.Close() username := "username" stmt, err := db.Prepare("SELECT * FROM users WHERE username = ?") if err != nil { panic(err) } rows, err := stmt.Query(username) if err != nil { panic(err) } defer rows.Close() if !rows.Next() { fmt.Println("用户不存在。") } }
2. 使用SQLX 套件
SQLX 是一個Go 函式庫,提供了一種類型化的方式來執行SQL 查詢並防止SQL 注入。它使用命名查詢和占位符來參數化查詢。
範例:
import ( "database/sql" "fmt" "github.com/jmoiron/sqlx" ) func main() { db, err := sql.Open("mysql", "root:password@/database_name") if err != nil { panic(err) } defer db.Close() dbx := sqlx.NewDb(db, "mysql") username := "username" stmt, err := dbx.PrepareNamed("SELECT * FROM users WHERE username = :username") if err != nil { panic(err) } rows, err := stmt.Queryx(map[string]interface{}{"username": username}) if err != nil { panic(err) } defer rows.Close() if !rows.Next() { fmt.Println("用户不存在。") } }
3. 驗證輸入
在將使用者輸入用於SQL 查詢之前,請驗證其有效性。確保輸入的格式正確且不包含任何惡意字元。
範例:
func validateInput(input string) error { if len(input) > 100 || len(input) == 0 { return errors.New("无效的输入长度") } for _, r := range input { if !unicode.IsLetter(r) && !unicode.IsDigit(r) { return errors.New("无效的输入字符") } } return nil }
透過遵循這些步驟,你可以幫助防止 SQL 注入漏洞並使你的 Go Web 應用程式更加安全。
以上是如何在 Golang 中使用 SQL 注入防護?的詳細內容。更多資訊請關注PHP中文網其他相關文章!