如何在 Go 中安全地构造文本 SQL 查询？

在 Go 中构建文本 SQL 查询的正确方法

在 Go 中编写文本 SQL 查询时，在将字符串部分与值连接时可能会遇到问题。传统方法，例如在字符串中使用 %d 和 %s 占位符，可能会导致语法错误或类型不匹配。

Python 样式连接

在 Python 中，您可以在三引号字符串中使用 % 运算符连接字符串和值。但是，Go 中不支持这种方法。

Go 等效

要在 Go 中实现类似的串联，可以使用 fmt.Sprintf 函数。它采用字符串格式作为第一个参数和占位符的附加参数：

<code class="go">query := fmt.Sprintf(`SELECT columnA FROM tableA WHERE columnB = %d AND columnC = %s`,
                     someNumber, someString)</code>

防止注入漏洞

在将值连接到查询中时，避免这一点至关重要注入漏洞。不要在字符串中使用占位符，而是考虑使用准备好的语句：

<code class="go">query := `SELECT columnA FROM tableA WHERE columnB = ? AND columnC = ?`

rows, err := db.Query(query, val1, val2)</code>

Here, ?占位符代表值，val1 和 val2 作为参数传递给 db.Query。这种方法保证了查询安全，防止恶意输入影响数据库。

以上是如何在 Go 中安全地构造文本 SQL 查询？的详细内容。更多信息请关注PHP中文网其他相关文章！