防止beego中的SQL注入
我正在使用选择查询使用以下代码从我的表中获取一些行。
func (f *UserFilter) ListAllUsers(srch string) (cnt int64, l []*ListResp, err error) {
o := orm.NewOrm()
var args []interface{}
var w string
q := `SELECT * FROM users WHERE 1 = 1`
if srch != "" {
q += ` AND (LOWER(first_name) LIKE %?% OR LOWER(last_name) LIKE %?% OR id = ?)`
args = append(args, srch, srch, srch)
}
_, err = o.Raw(q, args).QueryRows(&l)
return
}
虽然我使用准备好的语句来绑定值,但它们没有正确转义字段first_name和last_name. 例如,如果值为srchTes't,它将中断查询。有什么方法可以转义这些值,以便在使用 MySql 驱动程序时防止 SQL 注入?
任何帮助深表感谢。提前致谢。
慕哥9229398浏览 320回答 1
1回答
-
呼唤远方
%通配符应该在字符串之内,而不是在字符串之外,即... LIKE %'foo'% ...无效,... LIKE '%foo%' ...有效。更多关于LIKE。func (f *UserFilter) ListAllUsers(srch string) (cnt int64, l []*ListResp, err error) { o := orm.NewOrm() var args []interface{} var w string q := `SELECT * FROM users WHERE 1 = 1` if srch != "" { q += ` AND (LOWER(first_name) LIKE ? OR LOWER(last_name) LIKE ? OR id = ?)` args = append(args, "%"+srch+"%", "%"+srch+"%", srch) } _, err = o.Raw(q, args...).QueryRows(&l) return}或使用mysql的CONCAT:func (f *UserFilter) ListAllUsers(srch string) (cnt int64, l []*ListResp, err error) { o := orm.NewOrm() var args []interface{} var w string q := `SELECT * FROM users WHERE 1 = 1` if srch != "" { q += ` AND (LOWER(first_name) LIKE CONCAT('%', ?, '%') OR LOWER(last_name) LIKE CONCAT('%', ?, '%') OR id = ?)` args = append(args, srch, srch, srch) } _, err = o.Raw(q, args...).QueryRows(&l) return}
随时随地看视频慕课网APP
相关分类
Go