Dalam pembangunan perisian moden, selalunya perlu untuk melepaskan penyataan SQL untuk mengelakkan serangan suntikan SQL. Golang (Go) ialah bahasa pengaturcaraan moden yang turut menyokong pelarian SQL. Dalam artikel ini, kita akan membincangkan cara melakukan SQL escaping di Golang.
Dalam pembangunan perisian, serangan suntikan SQL ialah kaedah serangan biasa. Penyerang cuba memasukkan pernyataan SQL yang berniat jahat ke dalam aplikasi untuk mencuri, mengusik data sensitif atau memadam data daripada pangkalan data. Contohnya, jika aplikasi membenarkan pengguna memasukkan data ke dalam pangkalan data melalui borang web, penyerang boleh memasukkan beberapa pernyataan SQL berniat jahat ke dalam borang. Jika pernyataan SQL ini tidak terlepas, ia boleh dilaksanakan, menyebabkan isu keselamatan yang serius.
Di Golang, kita boleh menggunakan pernyataan yang disediakan oleh pakej database/sql
untuk melarikan diri dari pernyataan SQL. Penyataan yang disediakan ialah cara selamat untuk menghantar pembolehubah dalam pernyataan SQL sebagai parameter dan secara automatik melepaskannya. Berikut ialah contoh mudah:
import "database/sql" func main() { db, err := sql.Open("mysql", "user:password@tcp(127.0.0.1:3306)/database") if err != nil { panic(err.Error()) } defer db.Close() // 创建预处理语句,问号代表需要转义的变量 stmt, err := db.Prepare("SELECT * FROM users WHERE id = ?") if err != nil { panic(err.Error()) } defer stmt.Close() // 执行预处理语句并传递参数 rows, err := stmt.Query(1) if err != nil { panic(err.Error()) } // 循环遍历结果集 for rows.Next() { var ( id int name string age int ) if err := rows.Scan(&id, &name, &age); err != nil { panic(err.Error()) } fmt.Printf("id: %d, name: %s, age: %d\n", id, name, age) } }
Dalam contoh di atas, kami mencipta pernyataan yang disediakan menggunakan kaedah db.Prepare()
, dengan ?
mewakili pembolehubah yang perlu dipindahkan. Kemudian, kami menggunakan kaedah stmt.Query()
untuk melaksanakan pernyataan yang disediakan dan lulus parameter, yang secara automatik akan melarikan diri dari parameter. Akhir sekali, kami menggunakan kaedah rows.Scan()
untuk mengimbas hasil pertanyaan ke dalam pembolehubah yang sepadan.
Menggunakan pernyataan yang disediakan mempunyai kelebihan berikut:
Serangan suntikan SQL adalah isu keselamatan yang serius, jadi perhatian mesti diberikan untuk mencegah serangan suntikan semasa membangunkan aplikasi. Di Golang, anda boleh menggunakan pernyataan yang disediakan oleh pakej database/sql
untuk melarikan diri dari pernyataan SQL bagi mengelakkan serangan suntikan. Pernyataan yang disediakan juga mempunyai faedah lain, seperti pelaksanaan pertanyaan yang lebih pantas dan ralat sintaks yang lebih sedikit. Oleh itu, semasa membangunkan aplikasi, anda harus sentiasa menggunakan pernyataan yang disediakan untuk memproses pertanyaan SQL.
Atas ialah kandungan terperinci Satu artikel membincangkan cara untuk melarikan diri dari SQL di Golang. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!