安全的 Golang 數(shù)據(jù)庫交互：防止 SQL 注入

在當(dāng)今的開發(fā)環(huán)境中，安全編碼實踐至關(guān)重要。 本文重點介紹如何保護(hù) Golang 應(yīng)用程序免受 SQL 注入漏洞的影響，這是與數(shù)據(jù)庫交互時的常見威脅。我們將探索使用原始 SQL 和對象關(guān)系映射 (ORM) 框架的預(yù)防技術(shù)。

理解 SQL 注入

SQL 注入 (SQLi) 是一個嚴(yán)重的 Web 安全漏洞。 攻擊者通過將惡意 SQL 代碼注入數(shù)據(jù)庫查詢來利用它，可能會損害數(shù)據(jù)完整性和應(yīng)用程序安全性。

一個易受攻擊的查詢示例：

query := "SELECT * FROM users WHERE username='" + username + "' AND password='" + password + "'"
rows, err := db.Query(query)

username 或 password 中的惡意輸入可以更改查詢的邏輯。

要更深入地了解 SQL 注入，請參閱另一篇文章。

保護(hù)原始 SQL 查詢

直接使用 SQL 時，請優(yōu)先考慮以下安全措施：

1。準(zhǔn)備好的語句： Go 的 database/sql 包提供了準(zhǔn)備好的語句，這是針對 SQLi 的關(guān)鍵防御。

易受攻擊的示例：

query := "SELECT * FROM users WHERE username='" + username + "' AND password='" + password + "'"
rows, err := db.Query(query) // Vulnerable to SQL injection

安全版本（準(zhǔn)備好的聲明）：

query := "SELECT * FROM users WHERE username = ? AND password = ?"
rows, err := db.Query(query, username, password)
if err != nil {
    log.Fatal(err)
}

準(zhǔn)備好的語句會自動轉(zhuǎn)義用戶輸入，防止注入。

2。參數(shù)化查詢： 使用 db.Query 或 db.Exec 以及占位符進(jìn)行參數(shù)化查詢：

query := "INSERT INTO products (name, price) VALUES (?, ?)"
_, err := db.Exec(query, productName, productPrice)
if err != nil {
    log.Fatal(err)
}

避免字符串連接或 fmt.Sprintf 進(jìn)行動態(tài)查詢。

3。 QueryRow 對于單記錄： 對于單行檢索，QueryRow 最大限度地降低風(fēng)險：

query := "SELECT id, name FROM users WHERE email = ?"
var id int
var name string
err := db.QueryRow(query, email).Scan(&id, &name)
if err != nil {
    log.Fatal(err)
}

4。輸入驗證和清理： 即使使用準(zhǔn)備好的語句，也要驗證和清理輸入：

• 清理：刪除不需要的字符。
• 驗證：檢查輸入格式、類型和長度。

Go 輸入驗證示例：

func isValidUsername(username string) bool {
    re := regexp.MustCompile(`^[a-zA-Z0-9_]+$`)
    return re.MatchString(username)
}

if len(username) > 50 || !isValidUsername(username) {
    log.Fatal("Invalid input")
}

5。存儲過程： 將查詢邏輯封裝在數(shù)據(jù)庫存儲過程中：

CREATE PROCEDURE AuthenticateUser(IN username VARCHAR(50), IN password VARCHAR(50))
BEGIN
    SELECT * FROM users WHERE username = username AND password = password;
END;

來自 Go 的呼叫：

_, err := db.Exec("CALL AuthenticateUser(?, ?)", username, password)
if err != nil {
    log.Fatal(err)
}

使用 ORM 防止 SQL 注入

像 GORM 和 XORM 這樣的 ORM 簡化了數(shù)據(jù)庫交互，但安全實踐仍然至關(guān)重要。

1。戈姆：

易受攻擊的示例（動態(tài)查詢）：

db.Raw("SELECT * FROM users WHERE name = '" + userName + "'").Scan(&user)

安全示例（參數(shù)化查詢）：

db.Raw("SELECT * FROM users WHERE name = ? AND email = ?", userName, email).Scan(&user)

GORM 的 Raw 方法支持占位符。 更喜歡 GORM 的內(nèi)置方法，例如 Where:

query := "SELECT * FROM users WHERE username='" + username + "' AND password='" + password + "'"
rows, err := db.Query(query)

2。避免使用原始 SQL 進(jìn)行復(fù)雜查詢： 即使對于復(fù)雜的原始查詢也使用占位符。

3。用于安全映射的結(jié)構(gòu)標(biāo)簽： 使用結(jié)構(gòu)標(biāo)簽進(jìn)行安全 ORM 映射：

query := "SELECT * FROM users WHERE username='" + username + "' AND password='" + password + "'"
rows, err := db.Query(query) // Vulnerable to SQL injection

要避免的常見錯誤：

1. 避免查詢中的字符串連接。
2. 避免 ORM 函數(shù)繞過安全檢查。
3. 永遠(yuǎn)不要相信未經(jīng)驗證的用戶輸入。

結(jié)論

Golang 提供了用于安全數(shù)據(jù)庫交互的強(qiáng)大工具。 通過正確使用準(zhǔn)備好的語句、參數(shù)化查詢、ORM，并認(rèn)真驗證和清理用戶輸入，您可以顯著降低 SQL 注入漏洞的風(fēng)險。

通過以下方式與我聯(lián)系：

• 領(lǐng)英
• GitHub
• 推特/X

以上是在 Golang 中使用原始 SQL 和 ORM 防止 SQL 注入的詳細(xì)內(nèi)容。更多信息請關(guān)注PHP中文網(wǎng)其他相關(guān)文章！