Mencegah Suntikan SQL dengan SQL Mentah dan ORM di Golang

Interaksi Pangkalan Data Golang Selamat: Mencegah Suntikan SQL

Dalam landskap pembangunan hari ini, amalan pengekodan yang selamat adalah yang terpenting. Artikel ini memfokuskan pada melindungi aplikasi Golang daripada kelemahan suntikan SQL, ancaman biasa apabila berinteraksi dengan pangkalan data. Kami akan meneroka teknik pencegahan menggunakan rangka kerja SQL mentah dan Pemetaan Hubungan Objek (ORM).

---

Memahami SQL Injection

SQL Injection (SQLi) ialah kecacatan keselamatan web yang kritikal. Penyerang mengeksploitasinya dengan menyuntik kod SQL berniat jahat ke dalam pertanyaan pangkalan data, yang berpotensi menjejaskan integriti data dan keselamatan aplikasi.

Contoh pertanyaan yang terdedah:

query := "SELECT * FROM users WHERE username='" + username + "' AND password='" + password + "'"
rows, err := db.Query(query)

Input berniat jahat dalam username atau password boleh mengubah logik pertanyaan.

Untuk pemahaman yang lebih mendalam tentang suntikan SQL, rujuk siaran lain ini.

---

Menjaga Pertanyaan SQL Mentah

Apabila bekerja secara langsung dengan SQL, utamakan langkah keselamatan ini:

1. Penyata Disediakan: Pakej database/sql Go menawarkan kenyataan yang disediakan, pertahanan penting terhadap SQLi.

Contoh Terdedah:

query := "SELECT * FROM users WHERE username='" + username + "' AND password='" + password + "'"
rows, err := db.Query(query) // Vulnerable to SQL injection

Versi Selamat (Pernyataan Disediakan):

query := "SELECT * FROM users WHERE username = ? AND password = ?"
rows, err := db.Query(query, username, password)
if err != nil {
    log.Fatal(err)
}

Penyata yang disediakan secara automatik melepaskan input pengguna, menghalang suntikan.

2. Pertanyaan Berparameter: Gunakan db.Query atau db.Exec dengan ruang letak untuk pertanyaan berparameter:

query := "INSERT INTO products (name, price) VALUES (?, ?)"
_, err := db.Exec(query, productName, productPrice)
if err != nil {
    log.Fatal(err)
}

Elakkan penyambungan rentetan atau fmt.Sprintf untuk pertanyaan dinamik.

3. QueryRow untuk Rekod Tunggal: Untuk mendapatkan semula satu baris, QueryRow meminimumkan risiko:

query := "SELECT id, name FROM users WHERE email = ?"
var id int
var name string
err := db.QueryRow(query, email).Scan(&id, &name)
if err != nil {
    log.Fatal(err)
}

4. Pengesahan Input dan Sanitasi: Walaupun dengan kenyataan yang disediakan, sahkan dan bersihkan input:

• Sanitasi: Mengalih keluar aksara yang tidak diingini.
• Pengesahan: Menyemak format input, jenis dan panjang.

Contoh Pengesahan Input Go:

func isValidUsername(username string) bool {
    re := regexp.MustCompile(`^[a-zA-Z0-9_]+$`)
    return re.MatchString(username)
}

if len(username) > 50 || !isValidUsername(username) {
    log.Fatal("Invalid input")
}

5. Prosedur Tersimpan: Merangkum logik pertanyaan dalam prosedur tersimpan pangkalan data:

CREATE PROCEDURE AuthenticateUser(IN username VARCHAR(50), IN password VARCHAR(50))
BEGIN
    SELECT * FROM users WHERE username = username AND password = password;
END;

Panggilan daripada Go:

_, err := db.Exec("CALL AuthenticateUser(?, ?)", username, password)
if err != nil {
    log.Fatal(err)
}

---

Mencegah Suntikan SQL dengan ORM

ORM seperti GORM dan XORM memudahkan interaksi pangkalan data, tetapi amalan selamat masih penting.

1. GORM:

Contoh Rentan (Pertanyaan Dinamik):

db.Raw("SELECT * FROM users WHERE name = '" + userName + "'").Scan(&user)

Contoh Selamat (Pertanyaan Berparameter):

db.Raw("SELECT * FROM users WHERE name = ? AND email = ?", userName, email).Scan(&user)

Kaedah

GORM Raw menyokong pemegang tempat. Lebih suka kaedah terbina dalam GORM seperti Where:

query := "SELECT * FROM users WHERE username='" + username + "' AND password='" + password + "'"
rows, err := db.Query(query)

2. Elakkan SQL Mentah untuk Pertanyaan Kompleks: Gunakan ruang letak walaupun dengan pertanyaan mentah yang kompleks.

3. Teg Struktur untuk Pemetaan Selamat: Gunakan tag struktur untuk pemetaan ORM selamat:

query := "SELECT * FROM users WHERE username='" + username + "' AND password='" + password + "'"
rows, err := db.Query(query) // Vulnerable to SQL injection

Kesilapan Biasa yang Perlu Dielakkan:

1. Elakkan Rangkaian Rentetan dalam Pertanyaan.
2. Elakkan Fungsi ORM Melangkau Pemeriksaan Keselamatan.
3. Jangan Percayai Input Pengguna Tanpa Pengesahan.

---

Kesimpulan

Golang menyediakan alatan yang mantap untuk interaksi pangkalan data yang selamat. Dengan menggunakan pernyataan yang disediakan, pertanyaan berparameter, ORM dengan betul dan mengesahkan serta membersihkan input pengguna dengan teliti, anda mengurangkan risiko kelemahan suntikan SQL dengan ketara.

Hubungi saya di:

• LinkedIn
• GitHub
• Twitter/X

Atas ialah kandungan terperinci Mencegah Suntikan SQL dengan SQL Mentah dan ORM di Golang. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!