Go에서 SQL 쿼리를 생성할 때 어떻게 텍스트와 값을 안전하게 연결할 수 있나요?

Go SQL 쿼리에서 텍스트와 값 연결

Go에서 텍스트 SQL 쿼리를 구성할 때 연결 시 따라야 할 특정 구문 규칙이 있습니다. 특히 정수를 사용할 때 문자열 및 값 구성요소가 필요합니다.

제공된 Python 코드에서 튜플 접근 방식은 Go에서 유효하지 않으며 매개변수를 문자열로 캐스팅하려고 하면 유형 불일치 오류가 발생합니다.

Go에서 이를 수행하는 관용적인 방법은 fmt.Sprintf를 사용하여 쿼리 문자열의 형식을 지정하는 것입니다. 이를 통해 런타임 시 문자열 내에 값을 포함할 수 있습니다.

<code class="go">query := fmt.Sprintf(`SELECT columnA FROM tableA WHERE columnB = %d AND columnB = %s`,
                     someNumber, someString)</code>

여기서 자리 표시자 %d 및 %s는 각각 정수 및 문자열 값을 나타내며 db.Query 호출 중에 할당됩니다.

<code class="go">rows, err := db.Query(query, val1, val2)</code>

이 접근 방식은 값의 형식이 올바른지 확인하고 SQL 주입 취약점을 방지합니다.

SQL 주입 방지

다음 사항에 유의하는 것이 중요합니다. SQL 쿼리의 문자열 연결로 인해 주입 취약점이 발생할 수 있습니다. 이러한 위험을 완화하려면 준비된 문과 매개변수화된 쿼리를 사용하세요. 값을 매개변수로 전달하면 악의적인 입력이 의도한 SQL 쿼리를 수정하는 것을 방지할 수 있습니다.

예:

<code class="go">stmt, err := db.Prepare(`SELECT columnA FROM tableA WHERE columnB = ? AND columnB = ?`)
rows, err := stmt.Query(val1, val2)</code>

Prepared 문을 사용하면 악의적인 SQL 입력으로부터 애플리케이션을 보호할 수 있습니다. 동적 쿼리 구성의 편의성을 유지하면서

위 내용은 Go에서 SQL 쿼리를 생성할 때 어떻게 텍스트와 값을 안전하게 연결할 수 있나요?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!