Grom 如何解决 SQL 注入问题

最新推荐文章于 2024-02-13 04:45:20 发布
最新推荐文章于 2024-02-13 04:45:20 发布
阅读量720 收藏
点赞数
分类专栏: go语言 文章标签: sql oracle 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_48626761/article/details/133159132
版权

什么是 SQL 注入

SQL 注入是一种常见的数据库攻击手段, SQL 注入漏洞也是网络世界中最普遍的漏洞之一。 SQL 注入就是恶意用户通过在表单中填写包含 SQL 关键字的数据来使数据库执行非常规代码的过程。

这个问题的来源就是, SQL 数据库的操作是通过 SQL 命令执行的,无论是执行代码还是数据项都必须卸载 SQL 语句中,这就导致如果我们在数据项中加入了某些 SQL 语句关键字(比如 SELECT,DROP等等),这些关键字就很可能在数据库写入或读取数据时得到执行。

SQL 注入需要满足的条件

  1. 参数用户可控:前端传给后端的参数用户可控
  2. 参数代入数据库查询:传入的参数拼接到 SQL 语句中,且代入数据库中查询
id := "031904102" + " AND 1=1 "
where := "stu_number=" + id 
err := DB.Model(&User{}).Where(where).Find(&user).Error
if err != nil {
	fmt.Println(err)
}

如果使用上述代码的话进行字符串的拼接,就会导致 sql 注入的发生,本来是查询一条语句的,但是由于后面注入了 1 = 1 所以把数据库中的信息全部查出来了。

解决方法:使用占位符

user2 := []User{}
id := "156315775 ; drop table notice;"
err = DB.Model(&User{}).Where("stu_number=?", id).Find(&user2).Error
if err != nil {
	fmt.Println(err)
}

最终的语句为:

SELECT * FROM `user` WHERE stu_number=031904102; drop table notice;

这条语句在 sql 中是可以执行的,但是在 gorm 框架中是不能执行的。

总结

避免在操作数据库的时候使用字符串直接拼接的方式进行 SQL 查询。

dx1313113
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
如何优雅的解决SQL注入 如何摆脱编写繁琐的gorm model GORM/GEN来了
qqxhb 资源共享
08-26 3272
GORM/GEN是一个 GORM 的增强工具,在 GORM 的基础上只做增强不做改变,为简化开发、提高效率而生。
Go语言中使用gorm小结
01-01
首先说明的是,在项目中使用orm的好处很多: 防止直接拼接sql语句引入sql注入漏洞 方便对modle进行统一管理 专注业务,加速开发 坏处也是显而易见的: 开发者与最终的sql语句隔了一层orm,因此可能会不慎引入烂sql 依赖于orm的成熟度,无法进行一些「复杂」的查询。当然,复杂的查询一大半都是应该从设计上规避的 留意不合法的时间值 MySQL的DATE/DATATIME类型可以对应Golang的time.Time。但是,如果DATE/DATATIME不慎插入了一个无效值,例如2016-00-00 00:00:00, 那么这条记录是无法查询出来的。会返回gorm.R
gorm day6
最新发布
TOMOT77的博客
02-13 876
SQL注入SQL Injection)是一种常见的安全漏洞,它允许攻击者在应用程序的数据库查询中插入或“注入”恶意SQL命令。这种攻击可以用来获取、修改、删除数据库中存储的数据,甚至有可能获取到数据库服务器的更多权限。
SQL注入】关于GORMSQL注入问题
面向生活编程
09-03 3011
所以说我们要避免使用字符串直接拼接的形式来进行SQL的查询。
golang-gin-gorm-sql注入解决方案
flowerxxxxx的博客
06-09 4308
eg:(查询操作使用 db.Prepare() 方法声明预处理 SQL,使用 stmt.Query() 将数据替换占位符进行查询,更新、插入、删除操作使用 stmt.Exec() 来操作。) 3. 使用Raw的占位符来处理sql注入问题(推荐) eg: 完美避免测试(使用占位符): sql注入成功测试(不使用占位符,纯纯拼接sql)...
使用Gorm,渗透测试检测出sql注入问题
weixin_43578304的博客
11-17 619
大坑就是order()排序,gorm使用order时,不会进行预编译,首先明确一个问题,什么时候会存在SQL注入?当CRUD操作直接拼接了用户输入*,并且未做有效过滤/防护时,就会存在注入
sql注入
Ftworld21的专栏
02-27 110
SQL注入攻击危害较大,需要防止!
批量执行sql语句的方法
09-11
批量执行数据库插入,可以了解下sql的begin使用方法
Gin中使用GROM操作数据库-mysql数据(一)
09-27
在Gin框架中,GORM是一个非常流行的Go语言 ORM(对象关系映射)库,它提供了方便的方式来操作数据库,如MySQL。本篇文章将探讨如何在Gin应用中使用GORM来连接并操作MySQL数据库,同时也会涉及主键的使用。...
Grom-开源
04-25
这些模块为开发者提供了坚实的基础,使他们能够专注于解决具体业务问题,而不是基础架构。 此外,Grom的开源特性也意味着它具有持续的社区支持。开发者可以通过提交bug报告、参与讨论和贡献代码来参与到项目的改进...
filter 防止SQL注入(替换特殊字符版)
09-29
filter 防止SQL注入 替换特殊不合格字符。 <!-- 防SQL注入 SQLFilter frame.struts.SQLFilter SQLFilter /* --> 配置文件
safesql, 用于保护SQL注入的Golang的static 分析工具.zip
09-18
safesql, 用于保护SQL注入的Golang的static 分析工具 SafeSQLSafeSQL是用于保护SQL注入的static 分析工具。用法$ go get github.com/stripe/safesql$ safesqlUsage: safesql [-q] [-v]
grom系统文件
11-19
应用于系统其文件,文件丢失,可直接复制过去即可。主要针对Windows
grom-site
03-22
在实际开发中,开发者可能会结合其他技术,如JavaScript库(如React、Vue等)、构建工具(Webpack、Gulp等)、CSS-in-JS解决方案等,来配合CSS完成更复杂的任务。理解并熟练掌握CSS对于任何Web开发者来说都是至关...
Go,Gorm 和 Mysql 是如何防止 SQL 注入
每一个不曾起舞的日子,都是对人生的辜负。
08-21 9672
Go,Gorm 和 Mysql 是如何防止 SQL 注入SQL 注入SQL 预编译技术 什么是 SQL 注入 所谓SQL注入(sql inject),就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。 SQL 注入例子 如下所示
go mysql 防止sql注入
m0_46426259的博客
12-10 1353
//test.go package main import ( "database/sql" "fmt" _ "github.com/go-sql-driver/mysql" "html/template" "log" "net/http" "strings" ) func login(w http.ResponseWriter, r *http.Request) { fmt.Println("method:", r.Method) //获取请求的方法 if r.Method == "
gorm存指针数据_用Golang写爬虫(八) - 使用GORM存入MySQL数据库
weixin_39949954的博客
12-22 211
上篇文章把数据存进了文件,这篇文章将把数据存入MySQL数据库数据库的使用是每个开发者必备的技能,所以本篇文章我们使用Golang操作数据库。Golang没有内置的驱动支持任何的数据库,但是Go定义了database/sql接口,开发者可以基于驱动接口开发相应数据库的驱动。当然现在各种数据库驱动生态已经很稳定了,可以直接使用。我在实际开发工作中一般不直接用数据库驱动(如github.com/go...
golang防止MySQL注入_golang不到30行代码实现依赖注入的方法
weixin_33050117的博客
02-01 152
本文介绍了golang不到30行代码实现依赖注入的方法,分享给大家,具体如下:项目地址本项目依赖使用标准库实现,无额外依赖依赖注入的优势用java的人对于spring框架一定不会陌生,spring核心就是一个IoC(控制反转/依赖注入)容器,带来一个很大的优势是解耦。一般只依赖容器,而不依赖具体的类,当你的类有修改时,最多需要改动一下容器相关代码,业务代码并不受影响。golang的依赖注入原理总的...
Go语言SQL注入和防注入
qqqweiweiqq的博客
05-21 979
Go语言SQL注入和防注入 - Go语言中文网 - Golang中文社区
grom 连接数据库
05-26
在 Python 中使用 grom 连接数据库需要进行以下步骤: 1. 安装 grom 库 可以使用 pip 命令进行安装: ``` pip install grom ``` 2. 连接数据库 使用 grom.connect() 方法连接数据库,该方法接受一个字典参数,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值