在 Golang 中使用原始 SQL 和 ORM 防止 SQL 注入

安全的 Golang 数据库交互：防止 SQL 注入

在当今的开发环境中，安全编码实践至关重要。 本文重点介绍如何保护 Golang 应用程序免受 SQL 注入漏洞的影响，这是与数据库交互时的常见威胁。我们将探索使用原始 SQL 和对象关系映射 (ORM) 框架的预防技术。

---

理解 SQL 注入

SQL 注入 (SQLi) 是一个严重的 Web 安全漏洞。 攻击者通过将恶意 SQL 代码注入数据库查询来利用它，可能会损害数据完整性和应用程序安全性。

一个易受攻击的查询示例：

query := "SELECT * FROM users WHERE username='" + username + "' AND password='" + password + "'"
rows, err := db.Query(query)

username 或 password 中的恶意输入可以更改查询的逻辑。

要更深入地了解 SQL 注入，请参阅另一篇文章。

---

保护原始 SQL 查询

直接使用 SQL 时，请优先考虑以下安全措施：

1。准备好的语句： Go 的 database/sql 包提供了准备好的语句，这是针对 SQLi 的关键防御。

易受攻击的示例：

query := "SELECT * FROM users WHERE username='" + username + "' AND password='" + password + "'"
rows, err := db.Query(query) // Vulnerable to SQL injection

安全版本（准备好的声明）：

query := "SELECT * FROM users WHERE username = ? AND password = ?"
rows, err := db.Query(query, username, password)
if err != nil {
    log.Fatal(err)
}

准备好的语句会自动转义用户输入，防止注入。

2。参数化查询： 使用 db.Query 或 db.Exec 以及占位符进行参数化查询：

query := "INSERT INTO products (name, price) VALUES (?, ?)"
_, err := db.Exec(query, productName, productPrice)
if err != nil {
    log.Fatal(err)
}

避免字符串连接或 fmt.Sprintf 进行动态查询。

3。 QueryRow 对于单记录： 对于单行检索，QueryRow 最大限度地降低风险：

query := "SELECT id, name FROM users WHERE email = ?"
var id int
var name string
err := db.QueryRow(query, email).Scan(&id, &name)
if err != nil {
    log.Fatal(err)
}

4。输入验证和清理： 即使使用准备好的语句，也要验证和清理输入：

• 清理：删除不需要的字符。
• 验证：检查输入格式、类型和长度。

Go 输入验证示例：

func isValidUsername(username string) bool {
    re := regexp.MustCompile(`^[a-zA-Z0-9_]+$`)
    return re.MatchString(username)
}

if len(username) > 50 || !isValidUsername(username) {
    log.Fatal("Invalid input")
}

5。存储过程： 将查询逻辑封装在数据库存储过程中：

CREATE PROCEDURE AuthenticateUser(IN username VARCHAR(50), IN password VARCHAR(50))
BEGIN
    SELECT * FROM users WHERE username = username AND password = password;
END;

来自 Go 的呼叫：

_, err := db.Exec("CALL AuthenticateUser(?, ?)", username, password)
if err != nil {
    log.Fatal(err)
}

---

使用 ORM 防止 SQL 注入

像 GORM 和 XORM 这样的 ORM 简化了数据库交互，但安全实践仍然至关重要。

1。戈姆：

易受攻击的示例（动态查询）：

db.Raw("SELECT * FROM users WHERE name = '" + userName + "'").Scan(&user)

安全示例（参数化查询）：

db.Raw("SELECT * FROM users WHERE name = ? AND email = ?", userName, email).Scan(&user)

GORM 的 Raw 方法支持占位符。 更喜欢 GORM 的内置方法，例如 Where:

query := "SELECT * FROM users WHERE username='" + username + "' AND password='" + password + "'"
rows, err := db.Query(query)

2。避免使用原始 SQL 进行复杂查询： 即使对于复杂的原始查询也使用占位符。

3。用于安全映射的结构标签： 使用结构标签进行安全 ORM 映射：

query := "SELECT * FROM users WHERE username='" + username + "' AND password='" + password + "'"
rows, err := db.Query(query) // Vulnerable to SQL injection

要避免的常见错误：

1. 避免查询中的字符串连接。
2. 避免 ORM 函数绕过安全检查。
3. 永远不要相信未经验证的用户输入。

---

结论

Golang 提供了用于安全数据库交互的强大工具。 通过正确使用准备好的语句、参数化查询、ORM，并认真验证和清理用户输入，您可以显着降低 SQL 注入漏洞的风险。

通过以下方式与我联系：

• 领英
• GitHub
• 推特/X

以上是在 Golang 中使用原始 SQL 和 ORM 防止 SQL 注入的详细内容。更多信息请关注PHP中文网其他相关文章！