在 Go 中构建 SQL 查询时如何安全地连接文本和值？

在 Go SQL 查询中连接文本和值

在 Go 中构建文本 SQL 查询时，连接时需要遵循一定的语法规则字符串和值组件，特别是在使用整数时。

在提供的 Python 代码中，元组方法在 Go 中无效，尝试将参数转换为字符串将导致类型不匹配错误。

在 Go 中完成此操作的惯用方法是使用 fmt.Sprintf 来格式化查询字符串。这允许您在运行时在字符串中嵌入值：

<code class="go">query := fmt.Sprintf(`SELECT columnA FROM tableA WHERE columnB = %d AND columnB = %s`,
                     someNumber, someString)</code>

这里，占位符 %d 和 %s 分别表示整数和字符串值，然后在 db.Query 调用期间分配这些值：

<code class="go">rows, err := db.Query(query, val1, val2)</code>

此方法可确保值的格式正确并防止 SQL 注入漏洞。

避免 SQL 注入

需要注意的是， SQL 查询中的字符串连接可能会导致注入漏洞。为了减轻这种风险，请使用准备好的语句和参数化查询。通过将值作为参数传递，您可以防止恶意输入修改预期的 SQL 查询。

例如：

<code class="go">stmt, err := db.Prepare(`SELECT columnA FROM tableA WHERE columnB = ? AND columnB = ?`)
rows, err := stmt.Query(val1, val2)</code>

通过使用准备好的语句，您可以保护您的应用程序免受恶意 SQL 输入的影响同时保持构造动态查询的便利性。

以上是在 Go 中构建 SQL 查询时如何安全地连接文本和值？的详细内容。更多信息请关注PHP中文网其他相关文章！