Wie kann ich verhindern, dass SQL-injection-Angriffe im Gehen während der Verwendung von "Datenbank/sql"?

Gebäude meine erste web-app und verstehen will, SQL-injection besser (https://github.com/astaxie/build-web-application-with-golang/blob/master/en/eBook/09.4.md).

Wie viel Schutz gegen SQL-injection bekomme ich von immer nur über die " Datenbank/sql-Bibliothek und erstellen von Abfragen verwenden von '?' anstelle von concatting strings? Welche Art von SQL-injection-Angriffe muss ich noch befürchten in diesem Fall?

InformationsquelleAutor John Montague | 2014-10-13
  1. 25

    Solange Sie mit Vorbereiten oder Abfrage, du bist sicher.

    //this is safe
db.Query("SELECT name FROM users WHERE age=?", req.FormValue("age"))
//this allows sql injection.
db.Query("SELECT name FROM users WHERE age=" + req.FormValue("age"))
    • Exec erlauben auch die Bindung Wert ohne Verwendung Vorzubereiten. Ist es sicher, meine Vermutung ist, dass es macht eine STILLSCHWEIGENDE Anweisung Vorbereiten, aber ich habe noch keinen Blick in den code
    • gibt es eine Möglichkeit, um fmt.Sprintf sicher.
    • nicht wirklich, es sei denn, Sie manuell für jeden Parameter, es gibt keinen Grund, nicht zu verwenden, vorbereitete Abfragen aber.
    • wollte nur wissen ob es möglich ist, mit der printf-Stil string manuplation. Danke.
    • gilt das gleiche mit der db.Exec? zum Beispiel: db.Exec("DELETE from books where pk = ?", r.FormValue("pk"))
    • was ist mit dieser in golang? stackoverflow.com/questions/134099/...
    • Ich bin mir nicht 100% sicher, aber Gehen in der Regel Griffe, die Art von Sachen, die viel viel viel besser als php.
    • Ich bin kein Experte in DBs, fand ich dieses Thema die Diskussion in der posgres /lib/pq. Wo Sie diskutieren, dass Sie sogar mit Abfrage gibt es einige Schwachstellen? github.com/lib/pq/issues/248

    InformationsquelleAutor OneOfOne
Schreibe einen Kommentar