首先明确一个问题,什么时候会存在SQL注入?当CRUD操作直接拼接了用户输入*,并且未做有效过滤/防护时,就会存在注入。那么什么是拼接用户输入呢?—— +, fmt.Sprintf(), buf.WriteString()等字符串的连接,均可视为拼接。
一般情况
默认情况下,GORM对结构体、map结构的value在框架底层都进行了预编译,所以使用此类方式进行CRUD操作时是十分安全的,无须担心SQL注入问题,尤其结构体在增删改操作中使用的很多
坑
采用预编译执行SQL语句传入的参数不能作为SQL语句的一部分,那么OrderBy所代表的的列名、或者是后面跟随的ASC/DESC也无法进行预编译处理。由于框架缺乏对此种类型的安全处理,加之许多开发者并不清楚SQL注入,Order()就成了SQL注入的高发地带。
大坑就是order()排序,gorm使用order时,不会进行预编译。。。。
处理方式
类似我这样,不符合列名的,统统返回错误
//列效验
validateCols := map[string]bool{"ObjCode": true, "ObjName":true,"RCode":true,"OName":true}
if _, ok := validateCols[requ.Sort]; !ok {
c.JSON(http.StatusOK, vo.NewResp(utils.CodeFail, "列名不合法", nil))
return
}