如何在 MySQL 中实现 Go 中的动态 ORDER BY 子句来防止 SQL 注入？

Golang 中使用 MySql 进行动态 ORDER BY

问题：

动态排序查询困难使用 db.Select() 的结果

分析：

与过滤器参数不同，占位符（?）不能用于 SQL 关键字或标识符，包括 ORDER BY 子句。

解决方案：

要实现动态排序，可以使用 fmt.Sprintf() 动态组合查询文本。例如：

ordCol := "title"

qtext := fmt.Sprintf("SELECT * FROM Apps ORDER BY %s DESC", ordCol)
rows, err := db.Query(qtext)

注意事项：

动态组装查询时，实施针对 SQL 注入的保护措施至关重要。这涉及确保用于列名称的值符合特定标准，例如仅允许使用英文字母、数字和下划线：

valid := regexp.MustCompile("^[A-Za-z0-9_]+$")
if !valid.MatchString(ordCol) {
    // Invalid column name, prevent SQL injection
}

以上是如何在 MySQL 中实现 Go 中的动态 ORDER BY 子句来防止 SQL 注入？的详细内容。更多信息请关注PHP中文网其他相关文章！