20. go之sql预处理使用及SQL注入问题

最新推荐文章于 2024-09-09 08:42:59 发布
最新推荐文章于 2024-09-09 08:42:59 发布
阅读量1.8k 收藏 3
点赞数
分类专栏: Golang入门笔记 文章标签: golang sql 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43893483/article/details/122237128
版权

1. SQL预处理的使用

使用场景:批量执行sql语句,可以提高查询速度

为什么要预处理 ?

1)优化MySQL服务器重复执行SQL的方法,可以提升服务器性能,提前让服务器编译,一次编译多次执行,节省后续编译的成本

2)避免SQL注入问题

package main
import (
"database/sql"
"fmt"
_ "github.com/go-sql-driver/mysql"
"time"
)
var db *sql.DB

func initMySQL()(err error){
	dsn := "root:root@tcp(127.0.0.1:13306)/go_test"
	//去初始化全局的db对象,而不是新声明一个变量
	db,err = sql.Open("mysql",dsn)
	if err != nil {
		panic(err)
	}
	//做完错误检查后,确保db不为nil

	//尝试与数据库建立连接(校验dsn是否正确)
	err = db.Ping()
	if err != nil {
		fmt.Printf("connect to db failed,err: %v\n",err)
		return err
	}
	//根据实际业务设置数值
	db.SetConnMaxLifetime(time.Second*10) // 设置连接可以重复使用的最长时间
	db.SetMaxOpenConns(500) // 最大连接数
	db.SetMaxIdleConns(200) // 最大空闲连接数
	return
}
type user struct {
	id int
	age int
	name string
}

//预处理查询示例
func prepareQueryDemo() {
	// Prepare创建一个准备好的用于之后的查询和命令。返回值可以同时执行多个查询和命令
	sqlStr := "SELECT id,name,age FROM user WHERE id>?"
	stmt, err := db.Prepare(sqlStr)
	if err != nil {
		fmt.Printf("prepare failed, err:%v\n",err)
		return
	}
	defer stmt.Close()
	rows, err := stmt.Query(0)
	if err != nil {
		fmt.Printf("query failed, err:%v\n",err)
		return
	}
	defer rows.Close()
	// 循环读取结果集中的数据
	for rows.Next() {
		var u user
		//需要调用Scan去释放数据库链接
		err := rows.Scan(&u.id,&u.name,&u.age)
		if err != nil {
			fmt.Printf("scan failed,err:%v\n",err)
			return
		}
		fmt.Printf("id:%d,name:%s,age:%d\n",u.id,u.name,u.age)
	}
}
func main() {
	if err := initMySQL();err != nil {
		fmt.Printf("connect to db failed,err:%v\n",err)
	} else {
		fmt.Println("db connect to db success")
	}
	// Close() 用来释放数据库连接的相关资源
	defer db.Close()
	prepareQueryDemo()
}

2.SQL注入问题

注意:我们任何时候都不应该自己拼接SQL语句

#符号为注释符,忽略后面的sql语句,#为mysql特有的注释符

应该用 -- 

package main
import (
	"database/sql"
	"fmt"
	_ "github.com/go-sql-driver/mysql"
	"time"
)
var db *sql.DB

func initMySQL()(err error){
	dsn := "root:root@tcp(127.0.0.1:13306)/go_test"
	//去初始化全局的db对象,而不是新声明一个变量
	db,err = sql.Open("mysql",dsn)
	if err != nil {
		panic(err)
	}
	//做完错误检查后,确保db不为nil

	//尝试与数据库建立连接(校验dsn是否正确)
	err = db.Ping()
	if err != nil {
		fmt.Printf("connect to db failed,err: %v\n",err)
		return err
	}
	//根据实际业务设置数值
	db.SetConnMaxLifetime(time.Second*10) // 设置连接可以重复使用的最长时间
	db.SetMaxOpenConns(500) // 最大连接数
	db.SetMaxIdleConns(200) // 最大空闲连接数
	return
}
type user struct {
	id int
	age int
	name string
}
// sql注入示例
func sqlInjectDemo(name string) {
	sqlStr := fmt.Sprintf("select id, name, age from user where name='%s'", name)
	fmt.Printf("SQL:%s\n", sqlStr)
	var u user
	err := db.QueryRow(sqlStr).Scan(&u.id, &u.name, &u.age)
	if err != nil {
		fmt.Printf("exec failed, err:%v\n", err)
		return
	}
	fmt.Printf("user:%#v\n", u)
}
func main() {
	if err := initMySQL();err != nil {
		fmt.Printf("connect to db failed,err:%v\n",err)
	} else {
		fmt.Println("db connect to db success")
	}
	// Close() 用来释放数据库连接的相关资源
	defer db.Close()
	sqlInjectDemo("xxxx' or 1=2#")
}

golangSQL注入正则表达式
yan_l博客
04-29 2651
本人水平有限 有些地方写的较为繁琐 仅供参考 十六进制检测没有写全****************************************‘ or 1=1  and 1=1  'a'='a' 类型:*****************************************((\x27|')?\s+(o|O)(r|R)|^(o|O)(r|R))\s+?[[:alnum:]]+\s*(...
【愚公系列】2024年02月 《网络安全应急管理与技术实践》 012-网络安全应急技术与实践(Web层-SQL注入
热门推荐
时光隧道
02-09 8万+
Web层攻击分析与应急响应演练是指对Web应用程序进行攻击分析,发现潜在的漏洞和安全威胁,并在发生安全事件时能够迅速做出应急响应措施的过程。进行Web层攻击分析是为了了解Web应用程序存在的弱点和漏洞,从而提前对其进行修复和加固。攻击分析可以包括对Web应用程序进行安全扫描、漏洞评估和渗透测试等活动,通过模拟真实攻击场景,发现可能被黑客利用的漏洞,如SQL注入、跨站点脚本攻击(XSS)、跨站点请求伪造(CSRF)等。攻击分析的目的是为了及早发现和修复潜在的安全问题,确保Web应用程序的安全性。
go操作mysql
kismile
09-06 951
[TOC] ​ go的标准库database/sql包提供了保证sql或者类sql数据库的通用接口,但是没有提供具体数据库的驱动。因此使用database/sql包的时候必须注入至少一个数据库驱动 sql标准库和驱动部署与使用 mysql驱动 go get -u github.com/go-sql-driver/mysql func Open(driverN...
mysql性能优化-预处理语句(Prepared Statements)
最新发布
Flying_Fish_roe的博客
09-09 1513
预处理语句(Prepared Statements)是一种将 SQL 查询与其参数分离的机制。与传统的查询方式不同,预处理语句首先会将 SQL 查询进行编译、优化,并将其缓存,随后可以多次执行该查询,而不必每次都重新编译和解析 SQL 语句。每次执行时,预处理语句只需要提供不同的参数即可,这使得它在需要执行多次相同 SQL 查询的场景中具有明显的性能优势。准备阶段:MySQLSQL 查询语句进行编译和解析,并生成执行计划。执行阶段:传递参数,执行已编译的 SQL 语句,获取结果。
Go语言SQL注入和防注入
qqqweiweiqq的博客
05-21 1014
Go语言SQL注入和防注入 - Go语言中文网 - Golang中文社区
GO的sql注入盲注脚本
m0_64180167的博客
12-14 750
之间学习了go的语法 这里就开始go的爬虫与其说是爬虫 其实就是网站的访问如何实现 因为之前想通过go写sql注入盲注脚本发现不是那么简单 这里开始研究一下首先是请求网站这里貌似很简单然后就是读取源代码这里再难一点通过函数 然后发送请求然后这里开始尝试写一下盲注脚本这里开始是bool脚本 题目是ctfshow 174。
go语言连接mysqlsqlx、sql注入
一个非常Cool的人
01-14 4948
介绍了go语言如何操作mysql的几种方法,以及使用sqlx简化操作数据库的方法,还阐述了sql注入攻击的原理,以及模拟sql注入攻击。
使用准备语句和预处理语句防范SQL注入
# 第一章:理解SQL注入攻击 ## 1.1 什么是SQL注入攻击? SQL注入攻击是一种利用Web应用程序中存在的安全漏洞,向数据库中插入恶意的SQL代码的黑客行为。通过在用户输入的数据中注入SQL代码,黑客可以非法访问、...
go mysql prepare_Go 语言操作 MySQL预处理
weixin_35868872的博客
01-26 1545
友情提示:此篇文章大约需要阅读 6分钟 41秒,不足之处请多指教,感谢你的阅读。预处理预处理是 MySQL 为了防止客户端频繁请求的一种技术,是对相同处理语句进行预先加载在 MySQL 中,将操作变量数据用占位符来代替,减少对 MySQL 的频繁请求,使得服务器高效运行。在这里客户端并不是前台后台之间的 C/S 架构,而是后台程序对数据库服务器进行操作的 C/S 架构,这样就可以简要地理解了后台程...
小技术 | Go 基于原生库驱动 Driver 输出 SQL 日志 / 监控 / 链路追踪方案(上)
Avtionの秘密房间
11-16 1789
Go 基于原生库驱动 Driver 输出 SQL 日志 / 监控 / 链路追踪方案,围绕项目使用 GORM V1 或者原生 SQL的情况下,在尽可能少侵入业务代码的情况下做数据库操作的日志输出、错误监控和链路追踪。
goqu, SQL builder和golang查询库.zip
09-18
Golang的世界里,SQL构建器是用于生成SQL语句的工具,它们提供了一种更加安全、可读性更强的方式来构建动态SQL查询,避免了字符串拼接带来的SQL注入风险。"goqu"是一个非常出色的开源SQL构建器,它旨在提供一个...
safesql, 用于保护SQL注入Golang的static 分析工具.zip
09-18
safesql, 用于保护SQL注入Golang的static 分析工具 SafeSQLSafeSQL是用于保护SQL注入的static 分析工具。用法$ go get github.com/stripe/safesql$ safesqlUsage: safesql [-q] [-v]
Go 语言操作 MySQL预处理
Meng小羽的个人博客
07-02 644
友情提示:此篇文章大约需要阅读6分钟 41秒,不足之处请多指教,感谢你的阅读。订阅本站 预处理 预处理是 MySQL 为了防止客户端频繁请求的一种技术,是对相同处理语句进行预先加载在 MySQL 中,将操作变量数据用占位符来代替,减少对 MySQL 的频繁请求,使得服务器高效运行。 在这里客户端并不是前台后台之间的 C/S 架构,而是后台程序对数据库服务器进行操作的 C/S 架构,这样就可以简要地理解了后台程序作为 Client 向 MySQL Server 请求并处理结果了。 普通 SQL 执..
golang sql注入问题
笔记
05-13 1400
//图一为sql拼接的方式,不能防止sql注入,比如 "aa or 1=1",会查询出所有的数据 sql1="select id,name from table1 where name=" var1="kate";drop table table2; sql = sql1+var1 = select id,name from table1 where name="kate";drop table table2; ////图二位sql 占位符,占位符 ? 实际生成的结果,变量会被加引号...
避免SQL注入
weixin_34307464的博客
08-10 189
为什么80%的码农都做不了架构师?>>> ...
golang-gin-gorm-sql注入及解决方案
flowerxxxxx的博客
06-09 4571
eg:(查询操作使用 db.Prepare() 方法声明预处理 SQL使用 stmt.Query() 将数据替换占位符进行查询,更新、插入、删除操作使用 stmt.Exec() 来操作。) 3. 使用Raw的占位符来处理sql注入问题(推荐) eg: 完美避免测试(使用占位符): sql注入成功测试(不使用占位符,纯纯拼接sql)...
go mysql 防止sql注入
m0_46426259的博客
12-10 1415
//test.go package main import ( "database/sql" "fmt" _ "github.com/go-sql-driver/mysql" "html/template" "log" "net/http" "strings" ) func login(w http.ResponseWriter, r *http.Request) { fmt.Println("method:", r.Method) //获取请求的方法 if r.Method == "
MySQL SQL注入
冷月醉雪的博客
01-11 3455
防止SQL注入,我们需要注意以下几个要点: ·1.永远不要信任用户的输入。对用户的输入进行校验,可以通过正则表达式,或限制长度;对单引号和双"-"进行转换等。 ·2.永远不要使用动态拼装sql,可以使用参数化的sql或直接使用存储过程进行数据查询存取。 ·3.永远不要使用管理员权限的数据库连接,为每个应用使用单独的权限有限的数据库连接。 ·4.不要把机密信息直接存放,加密或hash掉密码和...
Golang代码审计之XSS、SQL注入漏洞审计及修复
weixin_45945976的博客
06-29 1139
这种情况下存在潜在的XSS漏洞,因为攻击者可以在"message"参数中注入恶意的JavaScript代码,导致该代码在用户的浏览器中执行。在上面的示例中,用户输入的username和password直接被拼接到SQL查询语句中,这种情况下容易受到SQL注入攻击。要修复这个问题,我们可以使用Go语言的html/template包中的自动转义功能,确保任何用户输入都被正确地转义。在修复后的代码中,我们使用了参数化查询,使得用户输入的数据以参数的形式传递给查询语句,而不是直接拼接到字符串中。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值