Comment construire en toute sécurité des requêtes SQL texte dans Go ?

Manière correcte de construire des requêtes SQL de texte dans Go

Lors de l'écriture de requêtes SQL de texte dans Go, vous pouvez rencontrer des problèmes lors de la concaténation de portions de chaîne avec des valeurs. Les méthodes traditionnelles, telles que l'utilisation d'espaces réservés %d et %s dans une chaîne, peuvent entraîner des erreurs de syntaxe ou des incompatibilités de types.

Concaténation de style Python

En Python, vous pouvez concaténer des chaînes et des valeurs à l'aide des opérateurs % dans des chaînes entre guillemets triples. Cependant, cette approche n'est pas prise en charge dans Go.

Go Equivalent

Pour obtenir une concaténation similaire dans Go, vous pouvez utiliser la fonction fmt.Sprintf. Il prend un format de chaîne comme premier argument et des arguments supplémentaires pour les espaces réservés :

<code class="go">query := fmt.Sprintf(`SELECT columnA FROM tableA WHERE columnB = %d AND columnC = %s`,
                     someNumber, someString)</code>

Prévention des vulnérabilités d'injection

Lors de la concaténation de valeurs dans des requêtes, il est crucial d'éviter vulnérabilités d’injection. Au lieu d'utiliser des espaces réservés dans les chaînes, envisagez d'utiliser des instructions préparées :

<code class="go">query := `SELECT columnA FROM tableA WHERE columnB = ? AND columnC = ?`

rows, err := db.Query(query, val1, val2)</code>

Ici, ? les espaces réservés représentent les valeurs, et val1 et val2 sont transmis comme arguments à db.Query. Cette méthode garantit la sécurité des requêtes et empêche les entrées malveillantes d'affecter la base de données.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!