golang-gin-gorm-sql注入及解决方案

最新推荐文章于 2024-03-07 12:13:54 发布
最新推荐文章于 2024-03-07 12:13:54 发布
阅读量3.9k 收藏 4
点赞数 1
分类专栏: golang 文章标签: golang sql 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/flowerxxxxx/article/details/125210792
版权

不要使用动态字符串拼接 dao.db.Raw(sql) 来查询,存在sql注入的风险

!不要动态拼接字符串

解决方案

1. 使用gorm框架语言,自带预编译,能够避免sql注入

2. 使用gorm自带的prepare预加载也能解决,但可能会增加请求往返(有待考量)

eg:(查询操作使用 db.Prepare() 方法声明预处理 SQL,使用 stmt.Query() 将数据替换占位符进行查询,更新、插入、删除操作使用 stmt.Exec() 来操作。)

// 预处理查询数据
func prepareQuery() {
    sqlStr := "SELECT id,name,age FROM user WHERE id > ?"
    stmt, err := db.Prepare(sqlStr)
    if err != nil {
        fmt.Printf("prepare sql failed, err:%v\n", err)
        return
    }
    rows, err := stmt.Query(1)
    if err != nil {
        fmt.Printf("exec failed, err:%v\n", err)
        return
    }
    defer rows.Close()

    for rows.Next() {
        var u user
        err := rows.Scan(&u.id, &u.name, &u.age)
        if err != nil {
            fmt.Printf("scan data failed, err:%v\n", err)
            return
        }
        fmt.Printf("id:%d, name:%s, age:%d\n", u.id, u.name, u.age)
    }
}

3. 使用Raw的占位符来处理sql注入问题(推荐)

eg:
完美避免测试(使用占位符):

// QueryWaitingApply 7 or 1=1 TODO 占位符解决sql注入
func (as *ArticleService) QueryWaitingApply() (artInfo []mysqlModel.Article) {
	sql := "select * from articles where boss_id=? and status =?"
	dao.DB.Raw(sql, "7 or 1=1", 0).Scan(&artInfo)
	fmt.Println(artInfo)
	return
}

sql注入成功测试(不使用占位符,纯纯拼接sql)

// QueryWaitingApply 7 or 1=1 TODO 占位符解决sql注入
func (as *ArticleService) QueryWaitingApply() (artInfo []mysqlModel.Article) {
	//sql := "select * from articles where boss_id=? and status = 0"
	//dao.DB.Raw(sql, "7 or 1=1").Scan(&artInfo)
	//fmt.Println(artInfo)
	//return

	sql := "select * from articles where boss_id=7 or 1=1 and status = 0"
	dao.DB.Raw(sql).Scan(&artInfo)
	fmt.Println(artInfo)
	return
}

请注意,gorm不直接支持UNION,您需要使用db.Raw来进行联合:

db.Raw("? UNION ?",
    db.Select("*").Model(&Foo{}),
    db.Select("*").Model(&Bar{}),
).Scan(&union)
flowerxxxxx
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[Golang实战] gorm中使用Raw()和 Exec() 两种方式操作sql原生语句的特点和区别
Jing_Hua
07-08 5757
当我在gorm中使用原生sql操作数据库时,时常用raw() 和 exec() ,有时候经常遇到数据插不进去或者 数据帮i当不到结构体,原来是 这两个方法有不同的用处和特点。
gosql:golang orm和sql生成器
04-13
Gosql的 gosqlGolang的简单ORM库。 风格: var userList [] UserModel err := db . FetchAll ( & userList , gosql . Columns ( "id" , "name" ), gosql . Where ( "status" , 1 ), gosql . Where ( "[like]name" , "j%" ), gosql . OrWhere ( func ( s * gosql. Clause ) { s . Where ( "[>]score" , "90" ) s . Where ( "[<]score" , "100" ) }), gosql . GroupBy ( "type" ), gosql . Or
Go,Gorm 和 Mysql 是如何防止 SQL 注入的
每一个不曾起舞的日子,都是对人生的辜负。
08-21 9320
Go,Gorm 和 Mysql 是如何防止 SQL 注入的 SQL 注入和 SQL 预编译技术 什么是 SQL 注入 所谓SQL注入(sql inject),就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。 SQL 注入例子 如下所示
gorm模型结构自动生成sql
01-27
gorm2sql: auto generate sql from gorm model struct A Swiss Army Knife helps you generate sql from model struct. Installation go get github.com/liudanking/gorm2sql Usage user_email.go: type UserBase struct { UserId string `sql:"index:idx_ub"` Ip string `sql:"unique_index:uniq_ip"` } type UserEmail struct { Id int64 `gorm:"primary_key"` UserBase Email string Sex bool
golang从0到1实战系统九十五: 避免 SQL 注入
Mr_Roki的博客
03-07 332
SQL 注入攻击(SQL Injection),简称注入攻击,是 Web 开发中最常见的一种安全漏洞。很多 Web 开发者没有意识到 SQL 查询是可以被篡改的,从而把 SQL 查询当作可信任的命。对于 MSSQL 还有更加危险的一种 SQL 注入,就是控制系统,下面这个可怕的例子将演示。就如上面的第一个例子那样,就算是。交恶意的 SQL 查询代码,程序在接收后错误的将攻击者的输入作为查询语句的一部分执行,而造成 SQL 注入的原因是因为程序没有有效过滤用户的输入,使攻击者成功的向服务器提。
gormGolang的绝佳ORM库,旨在对开发人员友好
02-04
格姆 Golang极好的ORM库,旨在对开发人员友好。 总览 功能齐全的ORM 关联(具有一个,具有多个,属于,一对多,多态性,单表继承) 挂钩(创建/保存/更新/删除/查找之前/之后) 预先加载Preload , Joins 事务,嵌套事务,保存点,回滚到保存点 上下文,准备语句模式,DryRun模式 批处理插入,FindIn批处理,查找地图 SQL Builder,Upsert,锁定,优化器/索引/注释提示,NamedArg,使用SQL Expr搜索/更新/创建 复合主键 自动迁移 记录仪 可扩展的灵活插件API:数据库解析器(多个数据库,读/写拆分)/ Prometheus…
Go语言中使用gorm小结
01-01
首先说明的是,在项目中使用orm的好处很多: 防止直接拼接sql语句引入sql注入漏洞 方便对modle进行统一管理 专注业务,加速开发 坏处也是显而易见的: 开发者与最终的sql语句隔了一层orm,因此可能会不慎引入烂sql 依赖于orm的成熟度,无法进行一些「复杂」的查询。当然,复杂的查询一大半都是应该从设计上规避的 留意不合法的时间值 MySQL的DATE/DATATIME类型可以对应Golang的time.Time。但是,如果DATE/DATATIME不慎插入了一个无效值,例如2016-00-00 00:00:00, 那么这条记录是无法查询出来的。会返回gorm.R
felix:友好的SSH跳线堡垒服务器
02-06
Felix 得益于和 为了谁 后端工程师 Golang SQL RESTful API工程师 DevOps工程师 人们大量使用SSH 做什么 管理大量的SSH登录配置 ssh快速登录 使用和从SQL数据库生成RESTful应用 Swift使用ssh启动TCP和SOCK代理 终端待办事项列表 Pewdiepie的brofit命令订阅YouTube频道 演示config.toml文件 [ spiderhn ] cookie = " user=neoxhau&SlKqTK32QSFSiWQu1vGgCr4aqvTx5NxT " # some cookie for hacknews spide
go-mssqldb:使用Go语言编写的Microsoft SQL Server驱动程序
04-23
用于Go的数据库/ sql软件包的纯Go MSSQL驱动程序 安装 需要Go 1.8或更高版本。 使用go get github.com/denisenkom/go-mssqldb安装。 连接参数和DSN 推荐的连接字符串使用URL格式: sqlserver://username:password@host/instance?param1=value&param2=value下面列出了其他受支持的格式。 常用参数: user id以DOMAIN \ User格式输入SQL Server身份验证用户ID或Windows身份验证用户ID。 在Windows上,如果用户ID为空或缺少Single Sign-On。 对连接字符串中定义的大小写敏感的用户域。 password database connection timeout -以秒为单位(默认为0表示没有超时),设置为0表示没有超
Grom 如何解决 SQL 注入问题
dx1313113的博客
09-22 604
SQL 注入是一种常见的数据库攻击手段, SQL 注入漏洞也是网络世界中最普遍的漏洞之一。SQL 注入就是恶意用户通过在表单中填写包含 SQL 关键字的数据来使数据库执行非常规代码的过程。这个问题的来源就是, SQL 数据库的操作是通过 SQL 命令执行的,无论是执行代码还是数据项都必须卸载 SQL 语句中,这就导致如果我们在数据项中加入了某些 SQL 语句关键字(比如 SELECT,DROP等等),这些关键字就很可能在数据库写入或读取数据时得到执行。
SQL注入】关于GORMSQL注入问题
面向生活编程
09-03 2861
所以说我们要避免使用字符串直接拼接的形式来进行SQL的查询。
sql注入
Ftworld21的专栏
02-27 97
SQL注入攻击危害较大,需要防止!
Gin + GORM + Casbin + vue-element-admin 实现的权限管理系统(golang).zip
最新发布
04-01
数据库管理系统 (DBMS):如Oracle、MySQLSQL Server,用于创建、维护和查询结构化数据。 企业资源计划 (ERP):整合企业的财务、供应链、人力资源、生产等多方面管理功能的综合性信息系统。 客户关系管理 (CRM)...
golang mysql 防注入_Golang ORDER BY问题与MySql
weixin_35744163的博客
02-15 549
小编典典占位符('?')仅可用于为WHERE应在其中显示数据值的过滤器参数(例如,在零件中)插入动态的转义值,而不能用于SQL关键字,标识符等。您不能使用它来动态指定ORDERBYOR GROUP BY值。不过,您仍然可以执行此操作,例如,可以使用以下方式fmt.Sprintf()来组装动态查询文本:ordCol := "title"qtext := fmt.Sprintf("SELECT * F...
go语言中mysql中防注入_MySQL SQL注入-Go语言中文社区
weixin_30348079的博客
01-30 456
防止SQL注入,我们需要注意以下几个要点:·1.永远不要信任用户的输入。对用户的输入进行校验,可以通过正则表达式,或限制长度;对单引号和双"-"进行转换等。·2.永远不要使用动态拼装sql,可以使用参数化的sql或直接使用存储过程进行数据查询存取。·3.永远不要使用管理员权限的数据库连接,为每个应用使用单独的权限有限的数据库连接。·4.不要把机密信息直接存放,加密或hash掉密码和敏感的信息。·5...
GORM-GEN快速上手
qq_51438138的博客
02-25 3447
GORM-GEN快速上手
Go语言Gin框架安全加固:全面解析SQL注入、XSS与CSRF的解决方案
热门推荐
qq_35716689的博客
02-04 16万+
在使用 Gin 框架处理前端请求数据时,必须关注安全性问题,以防范常见的攻击。作者: 鼠鼠我捏,要死了捏
使用Gorm,渗透测试检测出sql注入问题
weixin_43578304的博客
11-17 581
大坑就是order()排序,gorm使用order时,不会进行预编译,首先明确一个问题,什么时候会存在SQL注入?当CRUD操作直接拼接了用户输入*,并且未做有效过滤/防护时,就会存在注入。
gorm Prepared statement contains too many placeholders 问题
笔记
04-13 594
批量导入遇到一个mysql提示。修改成批量导入以后正常。
golang-jwt
09-16
golang-jwt是一个在Go中实现JWT的流行包。它提供了生成和验证JWT的功能,并且因其特性和易用性而受到欢迎。要使用golang-jwt包,您需要在安装后创建一个Go文件并导入所需的包和模块。您可以使用`import`语句导入以下包: ``` import ( "log" "encoding/json" "github.com/golang-jwt/jwt" "net/http" "time" ) ``` 安装golang-jwt包的先决条件是设置好Go工作区并初始化Go模块文件。在终端上的工作区目录中运行以下命令以安装包: ``` go get github.com/golang-jwt/jwt ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值