pembangunan bahagian belakang
Golang
Mencegah Suntikan SQL dengan SQL Mentah dan ORM di Golang
Interaksi Pangkalan Data Golang Selamat: Mencegah Suntikan SQL
Dalam landskap pembangunan hari ini, amalan pengekodan yang selamat adalah yang terpenting. Artikel ini memfokuskan pada melindungi aplikasi Golang daripada kelemahan suntikan SQL, ancaman biasa apabila berinteraksi dengan pangkalan data. Kami akan meneroka teknik pencegahan menggunakan rangka kerja SQL mentah dan Pemetaan Hubungan Objek (ORM).
Memahami SQL Injection
SQL Injection (SQLi) ialah kecacatan keselamatan web yang kritikal. Penyerang mengeksploitasinya dengan menyuntik kod SQL berniat jahat ke dalam pertanyaan pangkalan data, yang berpotensi menjejaskan integriti data dan keselamatan aplikasi.
Contoh pertanyaan yang terdedah:
query := "SELECT * FROM users WHERE username='" + username + "' AND password='" + password + "'" rows, err := db.Query(query)
Input berniat jahat dalam username atau password boleh mengubah logik pertanyaan.
Untuk pemahaman yang lebih mendalam tentang suntikan SQL, rujuk siaran lain ini.
Menjaga Pertanyaan SQL Mentah
Apabila bekerja secara langsung dengan SQL, utamakan langkah keselamatan ini:
1. Penyata Disediakan: Pakej database/sql Go menawarkan kenyataan yang disediakan, pertahanan penting terhadap SQLi.
Contoh Terdedah:
query := "SELECT * FROM users WHERE username='" + username + "' AND password='" + password + "'" rows, err := db.Query(query) // Vulnerable to SQL injection
Versi Selamat (Pernyataan Disediakan):
query := "SELECT * FROM users WHERE username = ? AND password = ?"
rows, err := db.Query(query, username, password)
if err != nil {
log.Fatal(err)
}
Penyata yang disediakan secara automatik melepaskan input pengguna, menghalang suntikan.
2. Pertanyaan Berparameter: Gunakan db.Query atau db.Exec dengan ruang letak untuk pertanyaan berparameter:
query := "INSERT INTO products (name, price) VALUES (?, ?)"
_, err := db.Exec(query, productName, productPrice)
if err != nil {
log.Fatal(err)
}
Elakkan penyambungan rentetan atau fmt.Sprintf untuk pertanyaan dinamik.
3. QueryRow untuk Rekod Tunggal: Untuk mendapatkan semula satu baris, QueryRow meminimumkan risiko:
query := "SELECT id, name FROM users WHERE email = ?"
var id int
var name string
err := db.QueryRow(query, email).Scan(&id, &name)
if err != nil {
log.Fatal(err)
}
4. Pengesahan Input dan Sanitasi: Walaupun dengan kenyataan yang disediakan, sahkan dan bersihkan input:
- Sanitasi: Mengalih keluar aksara yang tidak diingini.
- Pengesahan: Menyemak format input, jenis dan panjang.
Contoh Pengesahan Input Go:
func isValidUsername(username string) bool {
re := regexp.MustCompile(`^[a-zA-Z0-9_]+$`)
return re.MatchString(username)
}
if len(username) > 50 || !isValidUsername(username) {
log.Fatal("Invalid input")
}
5. Prosedur Tersimpan: Merangkum logik pertanyaan dalam prosedur tersimpan pangkalan data:
CREATE PROCEDURE AuthenticateUser(IN username VARCHAR(50), IN password VARCHAR(50))
BEGIN
SELECT * FROM users WHERE username = username AND password = password;
END;
Panggilan daripada Go:
_, err := db.Exec("CALL AuthenticateUser(?, ?)", username, password)
if err != nil {
log.Fatal(err)
}
Mencegah Suntikan SQL dengan ORM
ORM seperti GORM dan XORM memudahkan interaksi pangkalan data, tetapi amalan selamat masih penting.
1. GORM:
Contoh Rentan (Pertanyaan Dinamik):
db.Raw("SELECT * FROM users WHERE name = '" + userName + "'").Scan(&user)
Contoh Selamat (Pertanyaan Berparameter):
db.Raw("SELECT * FROM users WHERE name = ? AND email = ?", userName, email).Scan(&user)
Kaedah GORM Raw menyokong pemegang tempat. Lebih suka kaedah terbina dalam GORM seperti Where:
query := "SELECT * FROM users WHERE username='" + username + "' AND password='" + password + "'" rows, err := db.Query(query)
2. Elakkan SQL Mentah untuk Pertanyaan Kompleks: Gunakan ruang letak walaupun dengan pertanyaan mentah yang kompleks.
3. Teg Struktur untuk Pemetaan Selamat: Gunakan tag struktur untuk pemetaan ORM selamat:
query := "SELECT * FROM users WHERE username='" + username + "' AND password='" + password + "'" rows, err := db.Query(query) // Vulnerable to SQL injection
Kesilapan Biasa yang Perlu Dielakkan:
- Elakkan Rangkaian Rentetan dalam Pertanyaan.
- Elakkan Fungsi ORM Melangkau Pemeriksaan Keselamatan.
- Jangan Percayai Input Pengguna Tanpa Pengesahan.
Kesimpulan
Golang menyediakan alatan yang mantap untuk interaksi pangkalan data yang selamat. Dengan menggunakan pernyataan yang disediakan, pertanyaan berparameter, ORM dengan betul dan mengesahkan serta membersihkan input pengguna dengan teliti, anda mengurangkan risiko kelemahan suntikan SQL dengan ketara.
Hubungi saya di:
- GitHub
- Twitter/X
Atas ialah kandungan terperinci Mencegah Suntikan SQL dengan SQL Mentah dan ORM di Golang. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!
Alat AI Hot
Undress AI Tool
Gambar buka pakaian secara percuma
Undresser.AI Undress
Apl berkuasa AI untuk mencipta foto bogel yang realistik
AI Clothes Remover
Alat AI dalam talian untuk mengeluarkan pakaian daripada foto.
Clothoff.io
Penyingkiran pakaian AI
Video Face Swap
Tukar muka dalam mana-mana video dengan mudah menggunakan alat tukar muka AI percuma kami!
Artikel Panas
Alat panas
Notepad++7.3.1
Editor kod yang mudah digunakan dan percuma
SublimeText3 versi Cina
Versi Cina, sangat mudah digunakan
Hantar Studio 13.0.1
Persekitaran pembangunan bersepadu PHP yang berkuasa
Dreamweaver CS6
Alat pembangunan web visual
SublimeText3 versi Mac
Perisian penyuntingan kod peringkat Tuhan (SublimeText3)
Adakah Golang Frontend atau Backend
Jul 08, 2025 am 01:44 AM
Golang digunakan terutamanya untuk pembangunan back-end, tetapi ia juga boleh memainkan peranan tidak langsung dalam bidang front-end. Matlamat reka bentuknya memberi tumpuan kepada pengaturcaraan peringkat tinggi, pemprosesan serentak dan sistem, dan sesuai untuk membina aplikasi back-end seperti pelayan API, microservices, sistem yang diedarkan, operasi pangkalan data dan alat CLI. Walaupun Golang bukan bahasa arus perdana untuk front-end web, ia boleh disusun menjadi JavaScript melalui Gopherjs, berjalan di webassembly melalui Tinygo, atau menghasilkan halaman HTML dengan enjin templat untuk mengambil bahagian dalam pembangunan front-end. Walau bagaimanapun, pembangunan front-end moden masih perlu bergantung kepada JavaScript/Typescript dan ekosistemnya. Oleh itu, Golang lebih sesuai untuk pemilihan Stack Teknologi dengan backend berprestasi tinggi sebagai teras.
Cara Membina API GraphQL di Golang
Jul 08, 2025 am 01:03 AM
Untuk membina graphqlapi di GO, adalah disyorkan untuk menggunakan perpustakaan GQLGen untuk meningkatkan kecekapan pembangunan. 1. Mula -mula pilih perpustakaan yang sesuai, seperti GQLGen, yang menyokong penjanaan kod automatik berdasarkan skema; 2. Kemudian tentukan Graphqlschema, terangkan struktur API dan portal pertanyaan, seperti menentukan jenis pos dan kaedah pertanyaan; 3 kemudian memulakan projek dan menjana kod asas untuk melaksanakan logik perniagaan dalam resolver; 4. Akhirnya, sambungkan GraphqlHandler ke Httpserver dan uji API melalui taman permainan terbina dalam. Nota termasuk spesifikasi penamaan medan, pengendalian ralat, pengoptimuman prestasi dan tetapan keselamatan untuk memastikan penyelenggaraan projek
Cara Memasang Pergi
Jul 09, 2025 am 02:37 AM
Kunci untuk memasang Go ialah memilih versi yang betul, mengkonfigurasi pembolehubah persekitaran, dan mengesahkan pemasangan. 1. Pergi ke laman web rasmi untuk memuat turun pakej pemasangan sistem yang sepadan. Windows menggunakan fail .msi, macOS menggunakan fail .pkg, menggunakan fail linux .tar.gz dan unzip mereka ke direktori /usr /tempatan; 2. Konfigurasi pembolehubah persekitaran, edit ~/.bashrc atau ~/. 3. Gunakan arahan kerajaan untuk mengesahkan pemasangan, dan jalankan program ujian hello.go untuk mengesahkan bahawa penyusunan dan pelaksanaan adalah normal. Tetapan jalan dan gelung sepanjang proses
Contoh Sync.WaitGroup
Jul 09, 2025 am 01:48 AM
Sync.WaitGroup digunakan untuk menunggu sekumpulan goroutin untuk menyelesaikan tugas. Intinya adalah untuk bekerjasama melalui tiga kaedah: tambah, selesai, dan tunggu. 1.add (n) Tetapkan bilangan goroutine untuk menunggu; 2.Done () dipanggil pada akhir setiap goroutine, dan kiraan dikurangkan oleh satu; 3.Wait () menghalang coroutine utama sehingga semua tugas selesai. Apabila menggunakannya, sila ambil perhatian: Tambah hendaklah dipanggil di luar goroutine, elakkan tunggu pendua, dan pastikan untuk memastikan bahawa Don dipanggil. Adalah disyorkan untuk menggunakannya dengan menangguhkan. Ia adalah perkara biasa dalam merangkak bersama laman web, pemprosesan data batch dan senario lain, dan dapat mengawal proses konkurensi dengan berkesan.
Pergi Tutorial Pakej Embed
Jul 09, 2025 am 02:46 AM
Menggunakan pakej embed Go dengan mudah boleh membenamkan sumber statik ke dalam binari, sesuai untuk perkhidmatan web untuk membungkus HTML, CSS, gambar dan fail lain. 1. Mengisytiharkan sumber tertanam untuk menambah // Go: enmbed Comment sebelum pemboleh ubah, seperti membenamkan satu fail hello.txt; 2. Ia boleh tertanam dalam keseluruhan direktori seperti statik/*, dan menyedari pembungkusan pelbagai fail melalui embed.fs; 3. Adalah disyorkan untuk menukar mod pemuatan cakera melalui pembolehubah bangunan atau persekitaran untuk meningkatkan kecekapan; 4. Perhatikan ketepatan laluan, batasan saiz fail dan ciri-ciri bacaan sumber terbenam. Penggunaan rasional embed dapat memudahkan penggunaan dan mengoptimumkan struktur projek.
Pergi untuk pemprosesan audio/video
Jul 20, 2025 am 04:14 AM
Inti pemprosesan audio dan video terletak pada pemahaman proses asas dan kaedah pengoptimuman. 1. Proses asas termasuk pengambilalihan, pengekodan, penghantaran, penyahkodan dan main balik, dan setiap pautan mempunyai kesukaran teknikal; 2. Masalah biasa seperti penyimpangan audio dan video, kelewatan lag, bunyi bunyi, gambar kabur, dan lain -lain boleh diselesaikan melalui pelarasan segerak, pengoptimuman pengekodan, modul pengurangan hingar, pelarasan parameter, dan sebagainya; 3. Adalah disyorkan untuk menggunakan FFMPEG, OpenCV, WebRTC, GSTREAMER dan alat lain untuk mencapai fungsi; 4. Dari segi pengurusan prestasi, kita harus memberi perhatian kepada pecutan perkakasan, penetapan kadar bingkai resolusi yang munasabah, masalah konvensyen dan masalah kebocoran memori. Menguasai perkara utama ini akan membantu meningkatkan kecekapan pembangunan dan pengalaman pengguna.
Cara membina pelayan web di mana sahaja
Jul 15, 2025 am 03:05 AM
Ia tidak sukar untuk membina pelayan web yang ditulis dalam Go. Inti terletak pada menggunakan pakej NET/HTTP untuk melaksanakan perkhidmatan asas. 1. Gunakan NET/HTTP untuk memulakan pelayan yang paling mudah: fungsi pemprosesan mendaftar dan mendengar port melalui beberapa baris kod; 2. 3. Amalan Umum: Routing Kumpulan oleh Modul Fungsional, dan gunakan perpustakaan pihak ketiga untuk menyokong padanan kompleks; 4. Perkhidmatan Fail Statik: Sediakan fail HTML, CSS dan JS melalui http.fileserver; 5. Prestasi dan Keselamatan: Aktifkan HTTPS, hadkan saiz badan permintaan, dan tetapkan masa tamat untuk meningkatkan keselamatan dan prestasi. Selepas menguasai perkara -perkara utama ini, lebih mudah untuk mengembangkan fungsi.
Pergi pilih dengan kes lalai
Jul 14, 2025 am 02:54 AM
Tujuan Select Plus Default adalah untuk membolehkan Pilih untuk melakukan tingkah laku lalai apabila tiada cawangan lain yang bersedia untuk mengelakkan penyekatan program. 1. Apabila menerima data dari saluran tanpa menyekat, jika saluran kosong, ia akan terus memasuki cawangan lalai; 2. Dalam kombinasi dengan masa. Selepas atau ticker, cuba hantar data dengan kerap. Jika saluran penuh, ia tidak akan menyekat dan melangkau; 3. Mencegah kebuntuan, elakkan program terperangkap apabila tidak pasti sama ada saluran ditutup; Apabila menggunakannya, sila ambil perhatian bahawa cawangan lalai akan dilaksanakan dengan serta -merta dan tidak boleh disalahgunakan, dan lalai dan kes saling eksklusif dan tidak akan dilaksanakan pada masa yang sama.
