在 Go Postgresql 中防止 SQL 注入

Prevent SQL Injection in Go Postgresql

我在 Go 中的 postgresql 注入论坛进行了研究,我在 SQL 注入中找到了一些有用的信息,如下所示:

How to execute an IN lookup in SQL using Golang?

How can I prevent SQL injection attacks in Go while using "database/sql"?

但我仍然需要一些建议,因为我在 Go 中的代码使用了不同类型的代码和用例。 有些 usecase/question 我需要这样的建议

  1. 使用查询循环进行多次插入,例如 INSERT INTO a (a1,a2,a3) VALUES (%d,%d,%s) 使用 fmt.Sprintf,我知道使用 sprinft 不好。那么对于插入的这个循环查询有什么解决方案吗? 例如:INSERT INTO a (a1,a2,a3) VALUES (%d,%d,%s),(%d,%d,%s),(%d,%d,%s)
  2. 如果参数使用 %d 而不是 %s,使用 fmt.Sprintf 生成查询是否安全?
  3. 使用 Prepare 语句和 Query 是安全的,但是如果我使用函数 Select(使用 $1、$2)和函数 NamedQuery(使用命名结构)怎么办? 例如:Select * from a where text = -> 使用这个 </code> 安全吗? 和 例如:<code>Select * from a where text = :text -> 这在函数 NamedQuery 中安全吗?

请大家多多指教。谢谢!

首先,通常更喜欢使用数据库占位符? $1 等等

  1. 是的,使用带有整数参数的 fmt.Sprintf 来构建 SQL 是安全的,尽管如果可以的话值得避免,但是你的第三个参数是 %s - 避免它并使用 ?
  2. 是的,使用带有整数参数的 fmt.Sprintf 是安全的,但是 %s 或 %v 的风险要大得多,我会避免,想不出你为什么需要它。
  3. 在这里使用占位符,是的,它是安全的。

一般规则:

  • 默认使用占位符,应该很少使用 %d(例如在您的 IN 查询中)
  • 在任何验证或使用之前将参数解析为整数等类型
  • 尽可能避免字符串连接,并特别注意字符串参数
  • 始终对列和 table 名称等内容进行硬编码,从不根据用户输入生成它们(例如?sort=mystringcolname)
  • 始终验证您获得的参数是否仅为该用户授权的参数