Golang 中使用 MySql 进行动态 ORDER BY
问题:
动态排序查询困难使用 db.Select() 的结果
分析:
与过滤器参数不同,占位符(?)不能用于 SQL 关键字或标识符,包括 ORDER BY 子句。
解决方案:
要实现动态排序,可以使用 fmt.Sprintf() 动态组合查询文本。例如:
ordCol := "title"
qtext := fmt.Sprintf("SELECT * FROM Apps ORDER BY %s DESC", ordCol)
rows, err := db.Query(qtext)注意事项:
动态组装查询时,实施针对 SQL 注入的保护措施至关重要。这涉及确保用于列名称的值符合特定标准,例如仅允许使用英文字母、数字和下划线:
valid := regexp.MustCompile("^[A-Za-z0-9_]+$")
if !valid.MatchString(ordCol) {
// Invalid column name, prevent SQL injection
}以上是如何在 MySQL 中实现 Go 中的动态 ORDER BY 子句来防止 SQL 注入?的详细内容。更多信息请关注PHP中文网其他相关文章!
