beego的SQL注入

SQL注入攻击

SQL注入攻击是Web安全史上的一个重要里程碑，它从1999年首次进入人们的视线，至今已经有十几年的历史了，虽然我们现在已经有了很全面的防范对策，但是它的威力仍然不容小觑，SQL注入攻击至今仍然是Web安全领域中的一个重要组成部分。

SQL注入实例

考虑以下简单的登录表单：

    <form action="/login" method="POST">
    <p>Username: <input type="text" name="username" /></p>
    <p>Password: <input type="password" name="password" /></p>
    <p><input type="submit" value="登陆" /></p>
    </form>

我们的处理里面的SQL可能是这样的：

username:=r.Form.Get("username")
    password:=r.Form.Get("password")
    sql:="SELECT * FROM user WHERE username='"+username+"' AND password='"+password+"'"

如果用户的输入的用户名如下，密码任意

    myuser' or 'foo' = 'foo' --

那么我们的SQL变成了如下所示：

    SELECT * FROM user WHERE username='myuser' or 'foo' = 'foo' --'' AND password='xxx'

在SQL里面–是注释标记，所以查询语句会在此中断。这就让攻击者在不知道任何合法用户名和密码的情况下成功登录了。

beego的做法

经测试，beego框架是可以在一定程度上防止sql注入的，原因是其Raw函数使用了占位符，具体请参考为什么占位符可以防止sql注入？
并且beego是经过mysql的数据库驱动封装打包后再传到mysql中的，在这个过程中已经实现了防止SQL注入，因此不再存在SQL注入的危险。