【SQL注入】关于GORM的SQL注入问题

已于 2022-09-03 21:01:10 修改
阅读量2.9k 收藏 5
点赞数 2
分类专栏: 遇见Golang,拥抱未来 文章标签: sql 数据库 mysql
于 2022-09-03 20:58:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45304503/article/details/126682195
版权

目录

1. 问题提出

大家觉得这样写的 sql 会发生sql 注入吗 ?

在这里插入图片描述

答案是肯定的。那么我们知道,一旦发生字符串的拼接,就会产生这个sql注入的问题。但有同学会疑惑,这个 sql 语句,难道gorm不会帮忙预检测的吗?

2. 例子

例子 1

那么我们可以来实践一下下面两种写法

  • 字符串拼接
id := "031904102" + " AND 1=1 "
where := "stu_number=" + id 
err := DB.Model(&User{}).Where(where).Find(&user).Error
if err != nil {
	fmt.Println(err)
}
  • 直接使用占位符
user2 := []User{}
err = DB.Model(&User{}).Where("stu_number=?", id).Find(&user2).Error
if err != nil {
	fmt.Println(err)
}

通过打印出执行地SQL语句,我们可以发现这个情况,其实第一种情况的写法这是不行的,因为这里SQL发生了注入,本来只查一条 stu_number 为 031904102的,但是由于后面注入了 1=1 所以把数据库里面的信息全部查出来了。
在这里插入图片描述
第一种的这里是有危险的。,那么我们如何将这个防止呢?其实我们只要按照上面第二种这种做法就好了。因为这样我们才能很好地通过占位符来进行判断。

例子2

那么我们再来看看如果注入了两条SQL语句会怎么样?
比如说这个

在这里插入图片描述
我们直接注入了drop table notice 。那么最终的SQL语句如下:

SELECT * FROM `user` WHERE stu_number=031904102; drop table notice;

这个在SQL里面肯定是可以执行的。但是在gorm这个框架中是不能执行的。

在这里插入图片描述

3. 总结

所以说我们要避免使用字符串直接拼接的形式来进行SQL的查询。

小生凡一
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
[Golang实战] gorm中使用Raw()和 Exec() 两种方式操作sql原生语句的特点和区别
Jing_Hua
07-08 6102
当我在gorm中使用原生sql操作数据库时,时常用raw() 和 exec() ,有时候经常遇到数据插不进去或者 数据帮i当不到结构体,原来是 这两个方法有不同的用处和特点。
igor:igor是PostgreSQL抽象层,语法类似于gorm
02-05
伊戈尔 igor是用Go编写的PostgreSQL抽象层。 Igor语法(几乎)与兼容...始终使用准备好的语句:无sql注入和良好的性能。 支持交易 通过igor.JSON支持PostgreSQL JSON和JSONB类型 支持PostgreSQL 使用类似于GORM的语
使用Gorm,渗透测试检测出sql注入问题
weixin_43578304的博客
11-17 588
大坑就是order()排序,gorm使用order时,不会进行预编译,首先明确一个问题,什么时候会存在SQL注入?当CRUD操作直接拼接了用户输入*,并且未做有效过滤/防护时,就会存在注入。
gorm模型结构自动生成sql
01-27
gorm2sql: auto generate sql from gorm model struct A Swiss Army Knife helps you generate sql from model struct. Installation go get github.com/liudanking/gorm2sql Usage user_email.go: type UserBase struct { UserId string `sql:"index:idx_ub"` Ip string `sql:"unique_index:uniq_ip"` } type UserEmail struct { Id int64 `gorm:"primary_key"` UserBase Email string Sex bool
golang从0到1实战系统九十五: 避免 SQL 注入
最新发布
Mr_Roki的博客
03-07 337
SQL 注入攻击(SQL Injection),简称注入攻击,是 Web 开发中最常见的一种安全漏洞。很多 Web 开发者没有意识到 SQL 查询是可以被篡改的,从而把 SQL 查询当作可信任的命。对于 MSSQL 还有更加危险的一种 SQL 注入,就是控制系统,下面这个可怕的例子将演示。就如上面的第一个例子那样,就算是。交恶意的 SQL 查询代码,程序在接收后错误的将攻击者的输入作为查询语句的一部分执行,而造成 SQL 注入的原因是因为程序没有有效过滤用户的输入,使攻击者成功的向服务器提。
Go语言中使用gorm小结
01-01
首先说明的是,在项目中使用orm的好处很多: 防止直接拼接sql语句引入sql注入漏洞 方便对modle进行统一管理 专注业务,加速开发 坏处也是显而易见的: 开发者与最终的sql语句隔了一层orm,因此可能会不慎引入烂sql 依赖于orm的成熟度,无法进行一些「复杂」的查询。当然,复杂的查询一大半都是应该从设计上规避的 留意不合法的时间值 MySQL的DATE/DATATIME类型可以对应Golang的time.Time。但是,如果DATE/DATATIME不慎插入了一个无效值,例如2016-00-00 00:00:00, 那么这条记录是无法查询出来的。会返回gorm.R
如何优雅的解决SQL注入 如何摆脱编写繁琐的gorm model GORM/GEN来了
qqxhb 资源共享
08-26 3203
GORM/GEN是一个 GORM 的增强工具,在 GORM 的基础上只做增强不做改变,为简化开发、提高效率而生。
20. go之sql预处理使用及SQL注入问题
weixin_43893483的博客
12-30 1638
1. 使用场景:批量执行sql语句,可以提高查询速度 package main import ( "database/sql" "fmt" _ "github.com/go-sql-driver/mysql" "time" ) var db *sql.DB func initMySQL()(err error){ dsn := "root:root@tcp(127.0.0.1:13306)/go_test" //去初始化全局的db对象,而不是新声明一个变量 db,err = sql.Open.
Grom 如何解决 SQL 注入问题
dx1313113的博客
09-22 638
SQL 注入是一种常见的数据库攻击手段, SQL 注入漏洞也是网络世界中最普遍的漏洞之一。SQL 注入就是恶意用户通过在表单中填写包含 SQL 关键字的数据来使数据库执行非常规代码的过程。这个问题的来源就是, SQL 数据库的操作是通过 SQL 命令执行的,无论是执行代码还是数据项都必须卸载 SQL 语句中,这就导致如果我们在数据项中加入了某些 SQL 语句关键字(比如 SELECT,DROP等等),这些关键字就很可能在数据库写入或读取数据时得到执行。
golang-gin-gorm-sql注入及解决方案
flowerxxxxx的博客
06-09 4163
eg:(查询操作使用 db.Prepare() 方法声明预处理 SQL,使用 stmt.Query() 将数据替换占位符进行查询,更新、插入、删除操作使用 stmt.Exec() 来操作。) 3. 使用Raw的占位符来处理sql注入问题(推荐) eg: 完美避免测试(使用占位符): sql注入成功测试(不使用占位符,纯纯拼接sql)...
sql注入
Ftworld21的专栏
02-27 99
SQL注入攻击危害较大,需要防止!
Go语言SQL注入和防注入
qqqweiweiqq的博客
05-21 965
Go语言SQL注入和防注入 - Go语言中文网 - Golang中文社区
go-admin:go web api,包含gin + gorm + jwt + rbac等
02-06
表用户用户名密码角色名称菜单名称路径方法API注释目录结构conf:用于存储配置文件docs:文档sql执行命令API注释日志:日志中间件:应用中间件注入初始化对象jwt 权限验证型号:应用数据库模型pkg:第三方包路由器:...
golang-example-app:应用范例
05-10
sql-migrate -SQL迁移 线依赖注入 毒蛇-环境配置 眼镜蛇-创建命令 演员-容易从一种类型转换到另一种类型 gorm-数据库ORM zap-记录器 多路复用器-HTTP路由器 nats-streaming -NATS流媒体系统 gqlgen -graphql服务器...
毕业设计-银行流水数据分析系统
11-19
毕业设计-银行流水数据分析系统。...通过Golang反射创建结构体,完成对用户的数据注入数据库并且做到数据库表级别数据隔离。通过 SQL语句上下错行比对,检测交易数据存在不一致的情况,从而达到针对异常数据的标识。
Go,GormMysql 是如何防止 SQL 注入的
每一个不曾起舞的日子,都是对人生的辜负。
08-21 9420
Go,GormMysql 是如何防止 SQL 注入的 SQL 注入和 SQL 预编译技术 什么是 SQL 注入 所谓SQL注入(sql inject),就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。 SQL 注入例子 如下所示
go mysql 防止sql注入
m0_46426259的博客
12-10 1345
//test.go package main import ( "database/sql" "fmt" _ "github.com/go-sql-driver/mysql" "html/template" "log" "net/http" "strings" ) func login(w http.ResponseWriter, r *http.Request) { fmt.Println("method:", r.Method) //获取请求的方法 if r.Method == "
go中的GORM的原生sql
k393393的博客
01-21 4984
1.原生 SQL     数据库初始化 var db *gorm.DB func init() { //gorm.Open("数据库类型", "用户名:密码@tcp(IP:port)/数据库名") //注意: 为了正确的处理 time.Time ,你需要包含 parseTime 作为参数 d, err := gorm.Open("mysql", "root:xxxx@tcp(ip:port)/go_test?charset=utf8&par
Golang代码审计之XSS、SQL注入漏洞审计及修复
weixin_45945976的博客
06-29 990
这种情况下存在潜在的XSS漏洞,因为攻击者可以在"message"参数中注入恶意的JavaScript代码,导致该代码在用户的浏览器中执行。在上面的示例中,用户输入的username和password直接被拼接到SQL查询语句中,这种情况下容易受到SQL注入攻击。要修复这个问题,我们可以使用Go语言的html/template包中的自动转义功能,确保任何用户输入都被正确地转义。在修复后的代码中,我们使用了参数化查询,使得用户输入的数据以参数的形式传递给查询语句,而不是直接拼接到字符串中。
Gorm 预加载原生sql
06-08
Gorm 是一个 Go 语言的 ORM 库,它提供了丰富的 API 来操作数据库,包括预加载数据。但是,Gorm 并不支持直接预加载原生 SQL,因为预加载是 Gorm 的一个高级特性,它需要理解模型之间的关系来生成优化的 SQL 查询语句。 如果你需要执行原生 SQL 查询并返回 Gorm 模型,可以使用 Gorm 提供的 `Raw` 方法,它允许你执行原生 SQL 查询并将结果映射为 Gorm 模型。例如: ```go var users []User db.Raw("SELECT * FROM users WHERE age > ?", 18).Scan(&users) ``` 这样就可以执行原生 SQL 查询并将结果映射为 `User` 模型。 如果你需要对查询结果进行预加载,可以考虑使用 Gorm 提供的 `Preload` 方法,它可以在查询时预加载与模型相关联的关联数据。例如: ```go var users []User db.Preload("Orders").Find(&users) ``` 这样就可以查询所有用户并预加载他们的订单数据。注意,`Preload` 方法只适用于关联关系已经在 Gorm 模型中定义的情况。如果你需要预加载原生 SQL 查询的结果,可以考虑手动解析查询结果并构建模型关系。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小生凡一

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值