Wie kann ich Text und Werte beim Erstellen von SQL-Abfragen in Go sicher verketten?-Golang-php.cn

Wie kann ich Text und Werte beim Erstellen von SQL-Abfragen in Go sicher verketten?

Patricia Arquette

Freigeben： 2024-10-26 15:48:02

Original

445 Leute haben es durchsucht

How can I safely concatenate text and values when constructing SQL queries in Go?

Text und Werte in Go-SQL-Abfragen verketten

Beim Erstellen einer Text-SQL-Abfrage in Go müssen beim Verketten bestimmte Syntaxregeln beachtet werden Zeichenfolgen- und Wertkomponenten, insbesondere bei Verwendung von Ganzzahlen.

Im bereitgestellten Python-Code ist der Tupel-Ansatz in Go nicht gültig und der Versuch, Parameter in Zeichenfolgen umzuwandeln, führt zu Typkonfliktfehlern.

Der idiomatische Weg, dies in Go zu erreichen, besteht darin, fmt.Sprintf zum Formatieren der Abfragezeichenfolge zu verwenden. Dadurch können Sie zur Laufzeit Werte in den String einbetten:

<code class="go">query := fmt.Sprintf(`SELECT columnA FROM tableA WHERE columnB = %d AND columnB = %s`,
                     someNumber, someString)</code>

Nach dem Login kopieren

Hier stellen die Platzhalter %d und %s Ganzzahl- bzw. String-Werte dar, die dann während des db.Query-Aufrufs zugewiesen werden:

<code class="go">rows, err := db.Query(query, val1, val2)</code>

Nach dem Login kopieren

Dieser Ansatz stellt sicher, dass die Werte korrekt formatiert sind und verhindert SQL-Injection-Schwachstellen.

Vermeidung von SQL-Injection

Das ist unbedingt zu beachten Die Verkettung von Zeichenfolgen in SQL-Abfragen kann zu Sicherheitslücken bei der Injektion führen. Um dieses Risiko zu mindern, verwenden Sie vorbereitete Anweisungen und parametrisierte Abfragen. Durch die Übergabe von Werten als Parameter können Sie verhindern, dass böswillige Eingaben die beabsichtigte SQL-Abfrage ändern.

Zum Beispiel:

<code class="go">stmt, err := db.Prepare(`SELECT columnA FROM tableA WHERE columnB = ? AND columnB = ?`)
rows, err := stmt.Query(val1, val2)</code>

Nach dem Login kopieren

Durch die Verwendung vorbereiteter Anweisungen können Sie Ihre Anwendung vor böswilligen SQL-Eingaben schützen unter Beibehaltung der Bequemlichkeit der Erstellung dynamischer Abfragen.

Das obige ist der detaillierte Inhalt vonWie kann ich Text und Werte beim Erstellen von SQL-Abfragen in Go sicher verketten?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!