必须使用参数占位符(如?或1)而非字符串拼接来防止SQL注入;sql.RawBytes仅用于读取二进制字段,不可用于拼接SQL;动态表名/字段名需白名单校验;ORM应禁用Raw()并启用PrepareStmt;JSON中的SQL片段同样需严格校验。用 database/sql 的 Query 和 Exec 时必须带参数占位符Go 原生 database/sql 包本身不拼接 SQL 字符串,但开发者一不小心就手写 fmt.Sprintf 或字符串拼接,直接把用户输入塞进查询里。这是最常见、最危险的入口。正确做法永远是用 ? 占位符(MySQL/SQLite)或 1(PostgreSQL),让驱动做参数绑定。数据库看到的不是"拼出来的字符串",而是独立的值,根本不会当 SQL 解析。错: db.Query("SELECT * FROM users WHERE name = '" + name + "'") ------ 输入 ' OR 1=1 -- 就完蛋对: db.Query("SELECT * FROM users WHERE name = ?", name) ------ 驱动自动转义并隔离PostgreSQL 要用 1、2: db.Query("SELECT * FROM users WHERE id = 1 AND status = 2", id, status)sql.RawBytes 不是用来绕过参数绑定的有人以为 sql.RawBytes 是"原始数据容器",能用来动态拼 SQL,其实它只是读取二进制字段(比如 BLOB)时的临时缓冲区类型,跟防注入毫无关系。拿它拼接查询等于自废防御。常见错误场景:从配置表读 SQL 模板,再用 sql.RawBytes 拼上用户 ID------这和直接字符串拼接没区别,只是换了个难懂的写法。立即学习"go语言免费学习笔记(深入)"; 知网AI智能写作 知网AI智能写作,写文档、写报告如此简单
相关推荐
Hanniel18 小时前
装饰器 (中): 进阶篇,解锁框架级玩法康哥爱编程18 小时前
鸿蒙应用开发之应用如何实现腾讯云对象存储?云服务器租用费用18 小时前
2026年腾讯云OpenClaw(Clawdbot)+Skills云上部署及Windows本地集成轻松入门${王小剑}18 小时前
在pycharm中配置pyside6烛之武18 小时前
Python速通笔记AllData公司负责人18 小时前
大模型赋能AllData数据中台,系列升级|通过联合智谱大模型与BiSheng开源项目,建设企业大模型应用开发平台,支持知识库向量检索!挨踢诗人18 小时前
旺店通ERP集成金蝶云星空解决方案码界索隆18 小时前
Python转Java系列:作者有话说Raink老师18 小时前
【AI面试临阵磨枪-94】Skill 安全:注入、越权、数据泄露、恶意代码、沙箱?未来智慧谷18 小时前
【无标题】