如何在使用“database/sql”时防止 Go 中的 SQL 注入攻击?
构建我的第一个 web 应用程序并希望更好地理解 SQL 注入(https://github.com/ataxie/build-web-application-with-golang/blob/master/en/eBook/09.4.md)。
仅始终使用“database/sql”库并使用“?”构建查询,我可以获得多少针对 SQL 注入的保护?而不是连接字符串?在这种情况下,我还需要担心什么样的 SQL 注入攻击?
呼啦一阵风浏览 237回答 2
2回答
-
炎炎设计
只要您使用Prepare或Query,您就是安全的。// this is safedb.Query("SELECT name FROM users WHERE age=?", req.FormValue("age"))// this allows sql injection.db.Query("SELECT name FROM users WHERE age=" + req.FormValue("age"))
随时随地看视频慕课网APP
相关分类
Go