Go,Gorm 和 Mysql 是如何防止 SQL 注入的

置顶 已于 2023-09-02 11:56:59 修改
阅读量1w 收藏 13
点赞数 10
分类专栏: go 数据库 文章标签: go gorm mysql sql注入
于 2020-08-21 11:54:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39384184/article/details/108144309
版权

Go,Gorm 和 Mysql 是如何防止 SQL 注入的

SQL 注入和 SQL 预编译技术

什么是 SQL 注入

所谓SQL注入(sql inject),就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。

SQL 注入例子

如下所示,是一个用户进行登录时,输入用户名和密码,再将数据通过表单传送到后端进行查询的 SQL 语句。

sql = "SELECT  USERNAME,PASSWORD FROM USER WHERE USERNAME='" + username + "' AND PASSWORD='" + password + "'";

上面这个 SQL 语句就存在 SQL 注入的安全漏洞。

假如 user 表中有用户名为 123456 ,密码为 123456 的记录,而在前台页面提交表单的时候用户输入的用户名和密码是随便输入的,这样当然是不能登录成功的。

但是如果后台处理的 SQL 语句是如上所写,前台页面用户名也是随便输入,而用户输入的密码是这样的 aaa' or '1'='1 ,处理登录的 SQL 语句就相当于是这样的:

SELECT USERNAME,PASSWORD FROM USER WHERE USERNAME='123456' AND PASSWORD='aaa' or '1'='1';

我们知道,1=1 是 true,所以上面这个 SQL 语句是可以执行成功的,这是一个 SQL 注入问题。

SQL 注入的解决

上述 SQL 注入问题产生的原因就是用户的输入是包含 SQL 语句的,而且后端执行 SQL 语句时直接将用户的输入和查询的 SQL 语句进行了拼接

因此,简单的拼接用户输入的数据和后端的查询 SQL 语句,是不可行的,我们需要将用户的输入作为一个完整的字符串,而忽略内部的 SQL 语句。当用户输入的密码是这样的 aaa’ or ‘1’='1 ,处理登录的 SQL 语句实际应该执行的是:

SELECT USERNAME,PASSWORD FROM USER WHERE USERNAME='123456' AND PASSWORD="aaa' or '1'='1";

这样就可以避免 SQL 注入导致的安全漏洞。

SQL 预编译技术

解决 SQL 注入问题的这个方案的关键要点实际上是将 SQL 语句和用户输入的查询数据分别进行处理,而不是一视同仁的作为 SQL 语句的不同部分进行拼接处理。在这个基础上,就产生了 SQL 预编译技术。

通常我们的一条 SQL 在 DB 接收到最终执行完毕返回可以分为下面三个过程:

  1. 词法和语义解析
  2. 优化 SQL 语句,制定执行计划
  3. 执行并返回结果

但是我们可以将其中需要用户输入的值用占位符替代,可以视为将 SQL 语句模板化或者说参数化,再将这样的 SQL 语句进行预编译的处理,在实际运行的时候,再传入用户输入的数据。

使用这样的 SQL 预编译技术,除了可以防止 SQL 注入外,还可以对预编译的 SQL 语句进行缓存,之后的运行就省去了解析优化 SQL 语句的过程,可以加速 SQL 的查询

Gorm 和 Go 端的 SQL 预编译

在 Gorm 中,就为我们封装了 SQL 预编译技术,可以供我们使用。

db = db.Where("merchant_id = ?", merchantId)

在执行这样的语句的时候实际上我们就用到了 SQL 预编译技术,其中预编译的 SQL 语句merchant_id = ?和 SQL 查询的数据merchantId将被分开传输至 DB 后端进行处理。

db = db.Where(fmt.Sprintf("merchant_id = %s", merchantId))

而当你使用这种写法时,即表示 SQL 由用户来进行拼装,而不使用预编译技术,随之可能带来的,就是 SQL 注入的风险。

Gorm 端的 SQL 预编译

// SQLCommon is the minimal database connection functionality gorm requires.  Implemented by *sql.DB.
type SQLCommon interface {
   Exec(query string, args ...interface{}) (sql.Result, error)
   ......
}

Go 端的 SQL 预编译

// src/database/sql/sql.go
func (db *DB) execDC(ctx context.Context, dc *driverConn, release func(error), query string, args []interface{}) (res Result, err error) {
    ......
      resi, err = ctxDriverExec(ctx, execerCtx, execer, query, nvdargs)
    ......
      if err != driver.ErrSkip {
    ......
         return driverResult{dc, resi}, nil
      }
    ......
      si, err = ctxDriverPrepare(ctx, dc.ci, query)
    ......
   ds := &driverStmt{Locker: dc, si: si}
    ......
   return resultFromStatement(ctx, dc.ci, ds, args...)
}

实际的实现最终还是落到了go-sql-driver上,如下面代码所示go-sql-driver支持开启预编译和关闭预编译,由mc.cfg.InterpolateParams = false、true决定,可以看出gorm中mc.cfg.InterpolateParams = true,即开启了预编译

func (mc *mysqlConn) Exec(query string, args []driver.Value) (driver.Result, error) {
    ......
   if len(args) != 0 {
      if !mc.cfg.InterpolateParams {
         return nil, driver.ErrSkip
      }
      prepared, err := mc.interpolateParams(query, args)
      if err != nil {
         return nil, err
      }
      query = prepared
   }
    ......
   err := mc.exec(query)
    ......
  return nil, mc.markBadConn(err)
}

Mysql 端的SQL 预编译

在MySQL中是如何实现预编译的,MySQL在4.1后支持了预编译,其中涉及预编译的指令实例如下

可以通过PREPARE预编译指令,SET传入数据,通过EXECUTE执行命令

mysql> PREPARE stmt1 FROM 'SELECT SQRT(POW(?,2) + POW(?,2)) AS hypotenuse';
Query OK, 0 rows affected (0.00 sec)
Statement prepared

mysql> SET @a = 3;
Query OK, 0 rows affected (0.00 sec)

mysql> SET @b = 4;                                                   
Query OK, 0 rows affected (0.00 sec)

mysql> EXECUTE stmt1 USING @a, @b;
+------------+
| hypotenuse |
+------------+
|          5 |
+------------+
1 row in set (0.00 sec)

mysql> DEALLOCATE PREPARE stmt1;                                     
Query OK, 0 rows affected (0.00 sec)

首先我们先简单回顾下客户端使用 Prepare 请求过程:

  1. 客户端发起 Prepare 命令将带 “?” 参数占位符的 SQL 语句发送到数据库,成功后返回 stmtID。
  2. 具体执行 SQL 时,客户端使用之前返回的 stmtID,并带上请求参数发起 Execute 命令来执行 SQL。
  3. 不再需要 Prepare 的语句时,关闭 stmtID 对应的 Prepare 语句。

这里展示不使用 sql 预编译和使用 sql 预编译时的 Mysql 的日志。

2020-06-30T08:14:02.430089Z           10 Query        COMMIT
2020-06-30T08:14:02.432995Z           10 Query        select * from user where merchant_id='123456'

2020-06-30T08:15:10.581287Z           12 Query        COMMIT
2020-06-30T08:15:10.584109Z           12 Prepare        select * from user where merchant_id =?
2020-06-30T08:15:10.584725Z           12 Execute        select * from user where merchant_id ='123456'
嘿哈哈哈
关注
专栏目录
golang mysql注入_Go,GormMysql 是如何防止 SQL 注入
weixin_29586681的博客
01-21 2395
Go,GormMysql 是如何防止 SQL 注入SQL 注入SQL 预编译技术什么是 SQL 注入所谓SQL注入(sql inject),就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得...
golang防止MySQL注入_Mysql读写分离+防止sql注入攻击「GO源码剖析」
weixin_32900811的博客
01-19 1206
一、读写分离和防止sql注入的必要性(foreword)1、 读写分离:一句话定义:读写分离,基本的原理是让主数据库处理事务性增、改、删操作(INSERT、UPDATE、DELETE),而从数据库处理SELECT查询操作。数据库复制被用来把事务性操作导致的变更同步到集群中的从数据库。图1-1 主从读写分离示意图读写分离的好处:(1) 增加冗余(2) 增加了机器的处理能力(3) 对于读操作为主的应用...
filter 防止SQL注入(替换特殊字符版)
09-29
filter 防止SQL注入 替换特殊不合格字符。 <!-- 防SQL注入 SQLFilter frame.struts.SQLFilter SQLFilter /* --> 配置文件
GoFly框架orm有防SQL注入机制,开发时写sql操作代码也要注意规范
最新发布
GoFLy开发者的博客
07-27 480
gofly框架如何避免sql注入、规范写sql操作语句、gform已经帮助大家做了防止sql注入防范措施,但是你在开发时一定按照框架规范写,尽量不要写原生sql语句减少安全漏洞发生。
go mysql 防止sql注入
m0_46426259的博客
12-10 1378
//test.go package main import ( "database/sql" "fmt" _ "github.com/go-sql-driver/mysql" "html/template" "log" "net/http" "strings" ) func login(w http.ResponseWriter, r *http.Request) { fmt.Println("method:", r.Method) //获取请求的方法 if r.Method == "
sql注入
Ftworld21的专栏
02-27 135
SQL注入攻击危害较大,需要防止!
golang-gin-gorm-sql注入及解决方案
flowerxxxxx的博客
06-09 4490
eg:(查询操作使用 db.Prepare() 方法声明预处理 SQL,使用 stmt.Query() 将数据替换占位符进行查询,更新、插入、删除操作使用 stmt.Exec() 来操作。) 3. 使用Raw的占位符来处理sql注入问题(推荐) eg: 完美避免测试(使用占位符): sql注入成功测试(不使用占位符,纯纯拼接sql)...
Grom 如何解决 SQL 注入问题
dx1313113的博客
09-22 817
SQL 注入是一种常见的数据库攻击手段, SQL 注入漏洞也是网络世界中最普遍的漏洞之一。SQL 注入就是恶意用户通过在表单中填写包含 SQL 关键字的数据来使数据库执行非常规代码的过程。这个问题的来源就是, SQL 数据库的操作是通过 SQL 命令执行的,无论是执行代码还是数据项都必须卸载 SQL 语句中,这就导致如果我们在数据项中加入了某些 SQL 语句关键字(比如 SELECT,DROP等等),这些关键字就很可能在数据库写入或读取数据时得到执行。
Go语言中使用gorm小结
01-01
防止直接拼接sql语句引入sql注入漏洞 方便对modle进行统一管理 专注业务,加速开发 坏处也是显而易见的: 开发者与最终的sql语句隔了一层orm,因此可能会不慎引入烂sql 依赖于orm的成熟度,无法进行一些「复杂」...
jmoiron sqlx mysql_Golang服务常用组件—GORM, Sqlx, MySQL, MongoDB
weixin_30745053的博客
01-27 1013
在分布式系统中考虑7x24h不间断服务时,相比无状态的应用服务,有状态的数据存储服务是一个非常重要又比较麻烦的部分。在云原生中,无状态服务与有状态服务的区别有:事件无状态服务有状态服务升级直接部署新版本,删/减老版本实例升级Schema; 新增表,双表操作,到下个版本才能完全迁移POD异常拉起新的POD实例选举副本做Master,再拉起新的副本实例;在客户端中熔断,写操作切换到新的Master负载...
Go-Go-SQLBuilder是一个用于创建SQL语句的工具函数库
08-13
2. **参数绑定**:在构建SQL时,可以通过占位符(如`:param`)来插入值,然后在执行时通过`Params()`方法传入实际的参数值,这样可以有效地防止SQL注入。 3. **动态构建**:由于Go语言的强类型特性,Go-SQLBuilder...
goland防止sql注入的方法
weixin_43578304的博客
11-12 866
最近做完项目时,甲方对系统有要过安全等保三级的要求,这里针对我所编写的模块遇到的代码扫描出现的sql注入问题,给出部分解决方案。
SQL注入】关于GORMSQL注入问题
面向生活编程
09-03 3278
所以说我们要避免使用字符串直接拼接的形式来进行SQL的查询。
20. go之sql预处理使用及SQL注入问题
weixin_43893483的博客
12-30 1771
1. 使用场景:批量执行sql语句,可以提高查询速度 package main import ( "database/sql" "fmt" _ "github.com/go-sql-driver/mysql" "time" ) var db *sql.DB func initMySQL()(err error){ dsn := "root:root@tcp(127.0.0.1:13306)/go_test" //去初始化全局的db对象,而不是新声明一个变量 db,err = sql.Open.
gorm存指针数据_用Golang写爬虫(八) - 使用GORM存入MySQL数据库
weixin_39949954的博客
12-22 218
上篇文章把数据存进了文件,这篇文章将把数据存入MySQL数据库。数据库的使用是每个开发者必备的技能,所以本篇文章我们使用Golang操作数据库。Golang没有内置的驱动支持任何的数据库,但是Go定义了database/sql接口,开发者可以基于驱动接口开发相应数据库的驱动。当然现在各种数据库驱动生态已经很稳定了,可以直接使用。我在实际开发工作中一般不直接用数据库驱动(如github.com/go...
golang防止MySQL注入_golang不到30行代码实现依赖注入的方法
weixin_33050117的博客
02-01 182
本文介绍了golang不到30行代码实现依赖注入的方法,分享给大家,具体如下:项目地址本项目依赖使用标准库实现,无额外依赖依赖注入的优势用java的人对于spring框架一定不会陌生,spring核心就是一个IoC(控制反转/依赖注入)容器,带来一个很大的优势是解耦。一般只依赖容器,而不依赖具体的类,当你的类有修改时,最多需要改动一下容器相关代码,业务代码并不受影响。golang的依赖注入原理总的...
go语言mysqlgorm基本用法
nbv12589的博客
01-10 607
参考GORM的默认记录器如何自定义它。
【JDBC】二、JDBC的操作
weixin_41365204的博客
07-24 87
Statement:用于执行静态SQL语句PreparedStatement:SQL语句被预编译在此对象中,可以多次高效的使用这段语句。CallableStatement:用于执行SQL存储过程Statement也会因为Java语言和写法问题产生依赖注入问题,导致查询语句的WHERE条件恒成立。
【Go-MySQL】time.Time 和 timestamp 类型的时区问题
ik99s的博客
09-22 2791
日志中的时间参数生成于 time.Time 类型的 String 方法,该方法返回采用如下格式字符串的格式化时间:“2006-01-02 15:04:05.999999999 -0700 MST”,这与日志中的格式是一致的。TIMESTAMP 类型存储的是自 1970-01-01 00:00:01 +0000 UTC 到指定时间经过的秒数,在展示或检索数据时,再转为数据库指定时区的时间,即数据的存储和展示是分离的。因此,并非使用 string 类型不能传递有效的时区信息,而是使用的格式错误。
golang gorm mysql 递归查询单表
12-03
以下是使用Golang GORM进行MySQL递归查询单表的示例代码: ```go package main import ( "fmt" "github.com/jinzhu/gorm" _ "github.com/jinzhu/gorm/dialects/mysql" ) type Category struct { ID int Name string ParentID int Children []Category `gorm:"foreignkey:ParentID"` } func main() { db, err := gorm.Open("mysql", "user:password@tcp(127.0.0.1:3306)/database?charset=utf8mb4&parseTime=True&loc=Local") if err != nil { panic(err) } defer db.Close() var categories []Category db.Where("parent_id = ?", 0).Preload("Children").Find(&categories) for _, category := range categories { fmt.Println(category.Name) for _, child := range category.Children { fmt.Println(" ", child.Name) } } } ``` 在这个示例中,我们定义了一个Category结构体,其中包含ID、Name、ParentID和Children字段。Children字段是一个Category类型的切片,用于存储子类别。在结构体中,我们使用了GORM的foreignkey标记来指定ParentID字段是外键,Children字段是通过ParentID字段与Category表关联的。 在main函数中,我们首先使用GORM的Open函数打开MySQL数据库连接。然后,我们定义了一个categories切片,用于存储查询结果。我们使用GORM的Where函数指定ParentID为0,即查询所有顶级类别。然后,我们使用GORM的Preload函数预加载Children字段,以便在查询结果中包含子类别。最后,我们使用GORM的Find函数执行查询,并将结果存储在categories切片中。 最后,我们遍历categories切片,并打印每个类别及其子类别的名称。
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值