使用 database/sql 时必须用占位符参数化查询,禁止字符串拼接;ORDER BY 和表名等标识符需白名单校验;Scan 须处理 NULL 和类型匹配;日志和错误信息不得暴露敏感数据。用 database/sql 的 Query 和 Exec 时必须传参,别拼字符串Go 原生 database/sql 包本身不防注入,但它强制你用占位符------只要你不手动拼接 SQL 字符串,基本就安全了。很多人栽在"图省事",比如写成 "SELECT * FROM users WHERE id = " + userID,这等于把门敞开。PostgreSQL/MySQL 驱动(如 lib/pq、go-sql-driver/mysql)只认 1、2(PostgreSQL)或 ?(MySQL)占位符,不支持命名参数(如 :name),硬写会报错:sql: expected 0 arguments, got 1参数类型要匹配:传 int64 给 WHERE id = ? 没问题,但传 string 表示数字 ID 时,驱动通常能隐式转换;可一旦涉及时间、JSON 或空值,隐式转换可能失败或绕过校验切忌在 ORDER BY 或 TABLE NAME 里用参数------SQL 占位符只适用于值,不适用于标识符。这类场景必须白名单校验 + 显式映射处理动态字段名或表名时,必须用白名单 + 显式映射想按用户选的字段排序?想查不同租户的表?这时候不能靠参数化,得靠代码逻辑兜底。否则一上 ORDER BY ?,驱动直接报错,而有人就改用 fmt.Sprintf("ORDER BY %s", input),这就崩了。只允许从预设集合中选:比如排序字段限定为 \[\]string{"created_at", "name", "score"},用 mapstringbool{"created_at": true, "name": true} 快速判断是否合法表名映射建议用常量+switch:比如用户输入 "prod" → 实际查 "users_prod",而不是拼 "users_" + input别信 strings.ReplaceAll 过滤单引号或分号------攻击者用注释符 /**/、Unicode 空格、或换行就能绕过用 Scan 接收结果时,注意类型和 NULL 兼容性防注入不只是"发出去"的事,接收端出问题也可能导致逻辑异常甚至间接泄露。比如把数据库里的 NULL 直接扫进 string 变量,会 panic:sql: Scan error on column index 0: unsupported Scan, storing driver.Value type <nil> into type *string。所有可能为 NULL 的字段,都该用指针类型或 sql.NullXXX 类型接收,例如 sql.NullString、sql.NullInt64扫描到结构体时,字段名必须和 SELECT 列顺序/别名严格一致;用 SELECT id, name AS username 就得对应结构体字段 Username string,否则扫错位置,可能把恶意构造的字段名当数据用如果用 ORM(如 gorm),注意它默认开启 PrepareStmt,但若关掉(PrepareStmt: false),某些查询会退化为字符串拼接,失去参数化保护日志和错误信息里别暴露原始 SQL 或参数值开发时习惯打日志:log.Printf("query: %s, args: %v", query, args),上线后这就成了攻击者的探针。哪怕 SQL 是参数化的,把参数值全打出来,等于把密码、手机号、身份证号直接写进日志文件。 稿定AI 拥有线稿上色优化、图片重绘、人物姿势检测、涂鸦完善等功能
相关推荐
金銀銅鐵8 小时前
[Python] 扩展欧几里得算法Duckdblab8 小时前
DuckDB 性能调优终极指南:打造闪电般的分析体验带派擂总9 小时前
Python全栈开发精华版最全合集(包含各种面试题) Day24_异常和错误笃行35011 小时前
金仓数据库数据安全双防线:静态存储加密与传输加密实战笃行35011 小时前
金仓数据库物理备份实战:sys_rman 全流程演练与误覆盖抢救笃行35011 小时前
金仓数据库逻辑备份实战:从全库导出到 Schema 替换的完整闭环金銀銅鐵12 小时前
n^5 和 n 的个位数是否总相等?aqi0015 小时前
15天学会AI应用开发(九)利用Chroma持久化向量数据