在 Go Postgresql 中防止 SQL 注入
Prevent SQL Injection in Go Postgresql
我在 Go 中的 postgresql 注入论坛进行了研究,我在 SQL 注入中找到了一些有用的信息,如下所示:
How to execute an IN lookup in SQL using Golang?
How can I prevent SQL injection attacks in Go while using "database/sql"?
但我仍然需要一些建议,因为我在 Go 中的代码使用了不同类型的代码和用例。
有些 usecase/question 我需要这样的建议
- 使用查询循环进行多次插入,例如
INSERT INTO a (a1,a2,a3) VALUES (%d,%d,%s)
使用 fmt.Sprintf,我知道使用 sprinft 不好。那么对于插入的这个循环查询有什么解决方案吗?
例如:INSERT INTO a (a1,a2,a3) VALUES (%d,%d,%s),(%d,%d,%s),(%d,%d,%s)
- 如果参数使用
%d
而不是 %s
,使用 fmt.Sprintf 生成查询是否安全?
- 使用 Prepare 语句和 Query 是安全的,但是如果我使用函数 Select(使用 $1、$2)和函数 NamedQuery(使用命名结构)怎么办?
例如:
Select * from a where text =
-> 使用这个 </code> 安全吗?
和
例如:<code>Select * from a where text = :text
-> 这在函数 NamedQuery 中安全吗?
请大家多多指教。谢谢!
首先,通常更喜欢使用数据库占位符? $1 等等
- 是的,使用带有整数参数的 fmt.Sprintf 来构建 SQL 是安全的,尽管如果可以的话值得避免,但是你的第三个参数是 %s - 避免它并使用 ?
- 是的,使用带有整数参数的 fmt.Sprintf 是安全的,但是 %s 或 %v 的风险要大得多,我会避免,想不出你为什么需要它。
- 在这里使用占位符,是的,它是安全的。
一般规则:
- 默认使用占位符,应该很少使用 %d(例如在您的 IN 查询中)
- 在任何验证或使用之前将参数解析为整数等类型
- 尽可能避免字符串连接,并特别注意字符串参数
- 始终对列和 table 名称等内容进行硬编码,从不根据用户输入生成它们(例如?sort=mystringcolname)
- 始终验证您获得的参数是否仅为该用户授权的参数
我在 Go 中的 postgresql 注入论坛进行了研究,我在 SQL 注入中找到了一些有用的信息,如下所示:
How to execute an IN lookup in SQL using Golang?
How can I prevent SQL injection attacks in Go while using "database/sql"?
但我仍然需要一些建议,因为我在 Go 中的代码使用了不同类型的代码和用例。 有些 usecase/question 我需要这样的建议
- 使用查询循环进行多次插入,例如
INSERT INTO a (a1,a2,a3) VALUES (%d,%d,%s)
使用 fmt.Sprintf,我知道使用 sprinft 不好。那么对于插入的这个循环查询有什么解决方案吗? 例如:INSERT INTO a (a1,a2,a3) VALUES (%d,%d,%s),(%d,%d,%s),(%d,%d,%s)
- 如果参数使用
%d
而不是%s
,使用 fmt.Sprintf 生成查询是否安全? - 使用 Prepare 语句和 Query 是安全的,但是如果我使用函数 Select(使用 $1、$2)和函数 NamedQuery(使用命名结构)怎么办?
例如:
Select * from a where text =
-> 使用这个</code> 安全吗? 和 例如:<code>Select * from a where text = :text
-> 这在函数 NamedQuery 中安全吗?
请大家多多指教。谢谢!
首先,通常更喜欢使用数据库占位符? $1 等等
- 是的,使用带有整数参数的 fmt.Sprintf 来构建 SQL 是安全的,尽管如果可以的话值得避免,但是你的第三个参数是 %s - 避免它并使用 ?
- 是的,使用带有整数参数的 fmt.Sprintf 是安全的,但是 %s 或 %v 的风险要大得多,我会避免,想不出你为什么需要它。
- 在这里使用占位符,是的,它是安全的。
一般规则:
- 默认使用占位符,应该很少使用 %d(例如在您的 IN 查询中)
- 在任何验证或使用之前将参数解析为整数等类型
- 尽可能避免字符串连接,并特别注意字符串参数
- 始终对列和 table 名称等内容进行硬编码,从不根据用户输入生成它们(例如?sort=mystringcolname)
- 始终验证您获得的参数是否仅为该用户授权的参数