Concaténation de texte et de valeurs dans des requêtes SQL Go
Lors de la construction d'une requête SQL texte dans Go, certaines règles de syntaxe doivent être suivies lors de la concaténation composants de chaîne et de valeur, en particulier lors de l'utilisation d'entiers.
Dans le code Python fourni, l'approche tuple n'est pas valide dans Go, et tenter de convertir des paramètres en chaînes entraînera des erreurs d'incompatibilité de type.
La manière idiomatique d'y parvenir dans Go consiste à utiliser fmt.Sprintf pour formater la chaîne de requête. Cela vous permet d'intégrer des valeurs dans la chaîne au moment de l'exécution :
<code class="go">query := fmt.Sprintf(`SELECT columnA FROM tableA WHERE columnB = %d AND columnB = %s`, someNumber, someString)</code>
Ici, les espaces réservés %d et %s représentent respectivement des valeurs entières et de chaîne, qui sont ensuite attribuées lors de l'appel db.Query :
<code class="go">rows, err := db.Query(query, val1, val2)</code>
Cette approche garantit que les valeurs sont correctement formatées et évite les vulnérabilités d'injection SQL.
Éviter l'injection SQL
Il est crucial de noter que La concaténation de chaînes dans les requêtes SQL peut conduire à des vulnérabilités d'injection. Pour atténuer ce risque, utilisez des instructions préparées et des requêtes paramétrées. En transmettant des valeurs en tant que paramètres, vous pouvez empêcher les entrées malveillantes de modifier la requête SQL prévue.
Par exemple :
<code class="go">stmt, err := db.Prepare(`SELECT columnA FROM tableA WHERE columnB = ? AND columnB = ?`) rows, err := stmt.Query(val1, val2)</code>
En utilisant des instructions préparées, vous pouvez protéger votre application contre les entrées SQL malveillantes. tout en conservant la commodité de construire des requêtes dynamiques.
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!