Go语言SQL注入和防注入
来源:SegmentFault
2023-02-24 16:57:18
0浏览
收藏
本篇文章主要是结合我之前面试的各种经历和实战开发中遇到的问题解决经验整理的,希望这篇《Go语言SQL注入和防注入》对你有很大帮助!欢迎收藏,分享给更多的需要的朋友学习~
Go语言SQL注入和防注入
一、SQL注入是什么
SQL注入是一种注入攻击手段,通过执行恶意SQL语句,进而将任意SQL代码插入数据库查询,从而使攻击者完全控制Web应用程序后台的数据库服务器。攻击者可以使用SQL注入漏洞绕过应用程序验证,比如绕过登录验证登录Web身份验证和授权页面;也可以绕过网页,直接检索数据库的所有内容;还可以恶意修改、删除和增加数据库内容。
二、防止SQl注入的思路和方法
- 1.永远不要信任用户的输入。对用户的输入进行校验,可以通过正则表达式,或限制长度;对单引号和 双"-"进行转换等。
- 2.永远不要使用动态拼装SQL,可以使用参数化的SQL或者直接使用存储过程进行数据查询存取。
- 3.永远不要使用管理员权限的数据库连接,为每个应用使用单独的权限有限的数据库连接。
- 4.不要把机密信息直接存放,加密或者hash掉密码和敏感的信息。
- 5.应用的异常信息应该给出尽可能少的提示,最好使用自定义的错误信息对原始错误信息进行包装
- 6.sql注入的检测方法一般采取辅助软件或网站平台来检测,软件一般采用sql注入检测工具jsky,网站平台就有亿思网站安全平台检测工具。MDCSOFT SCAN等。采用MDCSOFT-IPS可以有效的防御SQL注入,XSS攻击等。
三、Go语言防止SQL注入的方法
我们采取了第二条思路和方法,即不用动态拼接SQL语句的方法,而是使用参数化查询,即变量绑定。
下面给出SQL注入攻击安全漏洞代码——拼接SQL语句:
//数据库 /* Navicat Premium Data Transfer Source Server : localhost_3306 Source Server Type : MySQL Source Server Version : 50553 Source Host : localhost:3306 Source Schema : test Target Server Type : MySQL Target Server Version : 50553 File Encoding : 65001 Date: 28/02/2020 10:48:06 */ SET NAMES utf8mb4; SET FOREIGN_KEY_CHECKS = 0; -- ---------------------------- -- Table structure for userinfo -- ---------------------------- DROP TABLE IF EXISTS `userinfo`; CREATE TABLE `userinfo` ( `uid` int(10) NOT NULL AUTO_INCREMENT, `username` varchar(64) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL, `password` varchar(64) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL, PRIMARY KEY (`uid`) USING BTREE ) ENGINE = MyISAM AUTO_INCREMENT = 14 CHARACTER SET = latin1 COLLATE = latin1_swedish_ci ROW_FORMAT = Dynamic; -- ---------------------------- -- Records of userinfo -- ---------------------------- INSERT INTO `userinfo` VALUES (2, 'aaa', 'hh'); INSERT INTO `userinfo` VALUES (4, 'ast', 'dddd'); SET FOREIGN_KEY_CHECKS = 1;
//test.go
package main
import (
"database/sql"
"fmt"
_ "github.com/go-sql-driver/mysql"
"html/template"
"log"
"net/http"
"strings"
)
func login(w http.ResponseWriter, r *http.Request) {
fmt.Println("method:", r.Method) //获取请求的方法
if r.Method == "GET" {
t, _ := template.ParseFiles("D:/Golang/GoItem/go_ex/goSql/test.html")
t.Execute(w, nil)
} else {
//请求的是查询数据,那么执行查询的逻辑判断
r.ParseForm()
fmt.Println("username:", r.Form["username"])
var sename = strings.Join(r.Form["username"], "")
var partname = strings.Join(r.Form["password"], "")
db, err := sql.Open("mysql", "root:123456@/test?charset=utf8")
infoErr(err)
if sename != "" && partname != "" {
var uid int
var username string
var password string
//字符串拼接查询
err := db.QueryRow("SELECT * FROM userinfo WHERE username ='"+sename+"'AND password ='"+partname+"'").
Scan(&uid, &username, &password)
infoErr(err)
//判断返回的数据是否为空
if err == sql.ErrNoRows {
fmt.Fprintf(w, "无该用户数据")
} else {
if (sename == username) && (partname == password) {
fmt.Println(uid)
fmt.Println(username)
fmt.Println(password)
t, _ := template.ParseFiles("D:/Golang/GoItem/go_ex/goSql/success.html")
t.Execute(w, nil)
}
}
} else if sename == "" || partname == "" {
fmt.Fprintf(w, "错误,输入不能为空!")
}
}
}
func infoErr(err error) {
if err != nil {
panic(err)
}
}
func main() {
http.HandleFunc("/login",login) //设置访问的路由 //设置访问的路由
err := http.ListenAndServe(":9092", nil) //设置监听的端口
if err != nil {
log.Fatal("ListenAndServe: ", err)
}
}
//login.html
<meta charset="utf-8"><title>sql防注入</title><style>
form{
width: 30vw;
height: 30vh;
min-height: 300px;
margin: 10vh auto;
border: 1px solid;
border-radius: 4px;
}
form .username,.password{
display: block;
float: right;
}
div {
width: 300px;
height: 80px;
margin: 30px auto 0;
}
input label {
float: left;
display: inline-block;
}
input {
height: 30px;
}
.button {
width: 100px;
margin: auto;
clear: both;
display: block;
}
</style>
解决防SQL注入方案——参数化查询:
//test.go
package main
import (
"database/sql"
"fmt"
_ "github.com/go-sql-driver/mysql"
"html/template"
"log"
"net/http"
"strings"
)
func login(w http.ResponseWriter, r *http.Request) {
fmt.Println("method:", r.Method) //获取请求的方法
if r.Method == "GET" {
t, _ := template.ParseFiles("D:/Golang/GoItem/go_ex/goSql/login.html")
t.Execute(w, nil)
} else {
//请求的是查询数据,那么执行查询的逻辑判断
r.ParseForm()
fmt.Println("username:", r.Form["username"])
var sename = strings.Join(r.Form["username"], "")
var partname = strings.Join(r.Form["password"], "")
db, err := sql.Open("mysql", "root:123456@/test?charset=utf8")
checkErr(err)
if sename != "" && partname != "" {
var uid int
var username string
var password string
//参数查询在一定程度上防止sql注入,参数化查询主要做了两件事:
//1.参数过滤;2.执行计划重用
//因为执行计划被重用,所以可以防止SQL注入。
err := db.QueryRow("SELECT * FROM userinfo WHERE username = ? AND password = ?", sename, partname).
Scan(&uid, &username, &password)
//判断返回的数据是否为空
if err == sql.ErrNoRows {
fmt.Fprintf(w, "无该用户数据")
} else {
if (sename == username) && (partname == password) {
fmt.Println(uid)
fmt.Println(username)
fmt.Println(password)
t, _ := template.ParseFiles("D:/Golang/GoItem/go_ex/goSQL/success.html")
t.Execute(w, nil)
}
}
} else if sename == "" || partname == "" {
fmt.Fprintf(w, "错误,输入不能为空!")
}
}
}
func checkErr(err error) {
if err != nil {
panic(err)
}
}
func main() {
http.HandleFunc("/login", login) //设置访问的路由
err := http.ListenAndServe(":9090", nil) //设置监听的端口
if err != nil {
log.Fatal("ListenAndServe: ", err)
}
}
四、SQL注入判断
执行登录查询的数据库语句:
QueryRow("SELECT * FROM userinfo WHERE username = ? AND password = ?", sename, partname).
Scan(&uid, &username, &password)今天关于《Go语言SQL注入和防注入》的内容介绍就到此结束,如果有什么疑问或者建议,可以在golang学习网公众号下多多回复交流;文中若有不正之处,也希望回复留言以告知!
版本声明
本文转载于:SegmentFault 如有侵犯,请联系study_golang@163.com删除
Laravel 模型读操作
- 上一篇
- Laravel 模型读操作
- 下一篇
- MSSQL2008R2数据库附加上后新建用户设置权限提示错误“用户、组或角色
查看更多
最新文章
-
- 数据库 · MySQL | 23小时前 |
- MySQL数值函数大全及使用技巧
- 117浏览 收藏
-
- 数据库 · MySQL | 2天前 |
- 三种登录MySQL方法详解
- 411浏览 收藏
-
- 数据库 · MySQL | 3天前 |
- MySQL数据备份方法与工具推荐
- 420浏览 收藏
-
- 数据库 · MySQL | 3天前 |
- MySQL数据备份方法与工具推荐
- 264浏览 收藏
-
- 数据库 · MySQL | 4天前 |
- MySQL索引的作用是什么?
- 266浏览 收藏
-
- 数据库 · MySQL | 5天前 |
- MySQL排序原理与实战应用
- 392浏览 收藏
-
- 数据库 · MySQL | 1星期前 |
- MySQLwhere条件查询技巧
- 333浏览 收藏
-
- 数据库 · MySQL | 1星期前 |
- MySQL常用数据类型有哪些?怎么选更合适?
- 234浏览 收藏
-
- 数据库 · MySQL | 1星期前 |
- MySQL常用命令大全管理员必学30条
- 448浏览 收藏
-
- 数据库 · MySQL | 1星期前 |
- MySQL高效批量插入数据方法大全
- 416浏览 收藏
-
- 数据库 · MySQL | 1星期前 |
- MySQL性能优化技巧大全
- 225浏览 收藏
-
- 数据库 · MySQL | 1星期前 |
- MySQL数据备份4种方法保障安全
- 145浏览 收藏
查看更多
课程推荐
-
- 前端进阶之JavaScript设计模式
- 设计模式是开发人员在软件开发过程中面临一般问题时的解决方案,代表了最佳的实践。本课程的主打内容包括JS常见设计模式以及具体应用场景,打造一站式知识长龙服务,适合有JS基础的同学学习。
- 543次学习
-
- GO语言核心编程课程
- 本课程采用真实案例,全面具体可落地,从理论到实践,一步一步将GO核心编程技术、编程思想、底层实现融会贯通,使学习者贴近时代脉搏,做IT互联网时代的弄潮儿。
- 516次学习
-
- 简单聊聊mysql8与网络通信
- 如有问题加微信:Le-studyg;在课程中,我们将首先介绍MySQL8的新特性,包括性能优化、安全增强、新数据类型等,帮助学生快速熟悉MySQL8的最新功能。接着,我们将深入解析MySQL的网络通信机制,包括协议、连接管理、数据传输等,让
- 500次学习
-
- JavaScript正则表达式基础与实战
- 在任何一门编程语言中,正则表达式,都是一项重要的知识,它提供了高效的字符串匹配与捕获机制,可以极大的简化程序设计。
- 487次学习
-
- 从零制作响应式网站—Grid布局
- 本系列教程将展示从零制作一个假想的网络科技公司官网,分为导航,轮播,关于我们,成功案例,服务流程,团队介绍,数据部分,公司动态,底部信息等内容区块。网站整体采用CSSGrid布局,支持响应式,有流畅过渡和展现动画。
- 485次学习
查看更多
AI推荐
-
- ChatExcel酷表
- ChatExcel酷表是由北京大学团队打造的Excel聊天机器人,用自然语言操控表格,简化数据处理,告别繁琐操作,提升工作效率!适用于学生、上班族及政府人员。
- 3162次使用
-
- Any绘本
- 探索Any绘本(anypicturebook.com/zh),一款开源免费的AI绘本创作工具,基于Google Gemini与Flux AI模型,让您轻松创作个性化绘本。适用于家庭、教育、创作等多种场景,零门槛,高自由度,技术透明,本地可控。
- 3375次使用
-
- 可赞AI
- 可赞AI,AI驱动的办公可视化智能工具,助您轻松实现文本与可视化元素高效转化。无论是智能文档生成、多格式文本解析,还是一键生成专业图表、脑图、知识卡片,可赞AI都能让信息处理更清晰高效。覆盖数据汇报、会议纪要、内容营销等全场景,大幅提升办公效率,降低专业门槛,是您提升工作效率的得力助手。
- 3403次使用
-
- 星月写作
- 星月写作是国内首款聚焦中文网络小说创作的AI辅助工具,解决网文作者从构思到变现的全流程痛点。AI扫榜、专属模板、全链路适配,助力新人快速上手,资深作者效率倍增。
- 4506次使用
-
- MagicLight
- MagicLight.ai是全球首款叙事驱动型AI动画视频创作平台,专注于解决从故事想法到完整动画的全流程痛点。它通过自研AI模型,保障角色、风格、场景高度一致性,让零动画经验者也能高效产出专业级叙事内容。广泛适用于独立创作者、动画工作室、教育机构及企业营销,助您轻松实现创意落地与商业化。
- 3784次使用
查看更多
相关文章
-
- golang MySQL实现对数据库表存储获取操作示例
- 2022-12-22 499浏览
-
- 搞一个自娱自乐的博客(二) 架构搭建
- 2023-02-16 244浏览
-
- B-Tree、B+Tree以及B-link Tree
- 2023-01-19 235浏览
-
- mysql面试题
- 2023-01-17 157浏览
-
- MySQL数据表简单查询
- 2023-01-10 101浏览
