在過去的工作中,我為我們的服務維護了一個允許臨時查詢的工具.它允許管理員在不必等待數周的代碼部署的情況下請求報告(在部署需要數周的古怪時期).

我們不支持臨時報表查詢,方法是讓服務接受任意字符串作為輸入,并將它們作為SQL執行.這是非常不安全的,因為我相信你知道.

它的工作方式是報告查詢存儲在數據庫中,以及所需的查詢參數數量.

CREATE TABLE ManagerQueries (

id INT PRIMARY KEY,

query TEXT NOT NULL,

description TEXT NOT NULL,

num_params TINYINT UNSIGNED NOT NULL DEFAULT 0

);

INSERT INTO ManagerQueries

SET query = 'SELECT COUNT(*) FROM logins WHERE user_id = {0} AND created_at > {1}',

description = 'Count a given user logins since a date',

num_params = 2;

管理器前端可以通過其主鍵請求查詢,而不是通過在Web請求中指定任意SQL字符串.

只有DBA以及可能知道如何編寫安全查詢的其他開發人員或經理才允許向此存儲庫添加新查詢,因此可以確保查詢經過測試和審查.

通過UI請求報表查詢時,它強制用戶提供查詢參數的值.在我們的例子中,它從數據庫中讀取SQL,執行prepare()然后綁定execute()的值.所以SQL注入防御很滿意.

在您的情況下,您的代碼可能無法直接訪問舊服務的數據庫,因此您無法執行準備/執行并使用綁定參數.您必須提交具有集成值的靜態查詢.

在其他語言中,您可以通過轉義使任何字符串值安全插入到SQL查詢中.請參閱MySQL C API函數mysql_real_escape_string().

數字值更容易.你不必逃避任何事情,你只需要確保數值是真正的數字.將動態值轉換為數字后,可以安全地插入到任何SQL字符串中.

不幸的是,我不認為golang SQL包支持任何轉義函數.這已被要求作為一項功能,但據我所知,目前還沒有支持的實現.見這里的討論：https://github.com/golang/go/issues/18478

請注意,它比使用正則表達式替換有點棘手,因為您需要考慮多字節字符集.

創作挑戰賽新人創作獎勵來咯，堅持創作打卡瓜分現金大獎

總結

以上是生活随笔為你收集整理的golang防止MySQL注入_mysql – 如何最大限度地降低golang服务中下游服务中SQL注入的风险？...的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。