Go语言SQL注入和防注入

本篇文章主要是结合我之前面试的各种经历和实战开发中遇到的问题解决经验整理的，希望这篇《Go语言SQL注入和防注入》对你有很大帮助！欢迎收藏，分享给更多的需要的朋友学习~

Go语言SQL注入和防注入

一、SQL注入是什么

SQL注入是一种注入攻击手段，通过执行恶意SQL语句，进而将任意SQL代码插入数据库查询，从而使攻击者完全控制Web应用程序后台的数据库服务器。攻击者可以使用SQL注入漏洞绕过应用程序验证，比如绕过登录验证登录Web身份验证和授权页面；也可以绕过网页，直接检索数据库的所有内容；还可以恶意修改、删除和增加数据库内容。

二、防止SQl注入的思路和方法

• 1.永远不要信任用户的输入。对用户的输入进行校验，可以通过正则表达式，或限制长度；对单引号和 双"-"进行转换等。
• 2.永远不要使用动态拼装SQL，可以使用参数化的SQL或者直接使用存储过程进行数据查询存取。
• 3.永远不要使用管理员权限的数据库连接，为每个应用使用单独的权限有限的数据库连接。
• 4.不要把机密信息直接存放，加密或者hash掉密码和敏感的信息。
• 5.应用的异常信息应该给出尽可能少的提示，最好使用自定义的错误信息对原始错误信息进行包装
• 6.sql注入的检测方法一般采取辅助软件或网站平台来检测，软件一般采用sql注入检测工具jsky，网站平台就有亿思网站安全平台检测工具。MDCSOFT SCAN等。采用MDCSOFT-IPS可以有效的防御SQL注入，XSS攻击等。

三、Go语言防止SQL注入的方法

我们采取了第二条思路和方法，即不用动态拼接SQL语句的方法，而是使用参数化查询，即变量绑定。

下面给出SQL注入攻击安全漏洞代码——拼接SQL语句：

//数据库
/*
 Navicat Premium Data Transfer

 Source Server         : localhost_3306
 Source Server Type    : MySQL
 Source Server Version : 50553
 Source Host           : localhost:3306
 Source Schema         : test

 Target Server Type    : MySQL
 Target Server Version : 50553
 File Encoding         : 65001

 Date: 28/02/2020 10:48:06
*/

SET NAMES utf8mb4;
SET FOREIGN_KEY_CHECKS = 0;

-- ----------------------------
-- Table structure for userinfo
-- ----------------------------
DROP TABLE IF EXISTS `userinfo`;
CREATE TABLE `userinfo`  (
  `uid` int(10) NOT NULL AUTO_INCREMENT,
  `username` varchar(64) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL,
  `password` varchar(64) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL,
  PRIMARY KEY (`uid`) USING BTREE
) ENGINE = MyISAM AUTO_INCREMENT = 14 CHARACTER SET = latin1 COLLATE = latin1_swedish_ci ROW_FORMAT = Dynamic;

-- ----------------------------
-- Records of userinfo
-- ----------------------------
INSERT INTO `userinfo` VALUES (2, 'aaa', 'hh');
INSERT INTO `userinfo` VALUES (4, 'ast', 'dddd');

SET FOREIGN_KEY_CHECKS = 1;

//test.go
package main

import (
    "database/sql"
    "fmt"
    _ "github.com/go-sql-driver/mysql"
    "html/template"
    "log"
    "net/http"
    "strings"
)
func login(w http.ResponseWriter, r *http.Request) {
    fmt.Println("method:", r.Method) //获取请求的方法
    if r.Method == "GET" {
        t, _ := template.ParseFiles("D:/Golang/GoItem/go_ex/goSql/test.html")
        t.Execute(w, nil)
    } else {
        //请求的是查询数据，那么执行查询的逻辑判断
        r.ParseForm()
        fmt.Println("username:", r.Form["username"])
        var sename = strings.Join(r.Form["username"], "")
        var partname = strings.Join(r.Form["password"], "")
        db, err := sql.Open("mysql", "root:123456@/test?charset=utf8")
        infoErr(err)
        if sename != "" && partname != "" {
            var uid int
            var username string
            var password string
            //字符串拼接查询
            err := db.QueryRow("SELECT * FROM userinfo WHERE username ='"+sename+"'AND password ='"+partname+"'").
                Scan(&uid, &username, &password)
            infoErr(err)
            //判断返回的数据是否为空
            if err == sql.ErrNoRows {
                fmt.Fprintf(w, "无该用户数据")
            } else {
                if (sename == username) && (partname == password) {
                    fmt.Println(uid)
                    fmt.Println(username)
                    fmt.Println(password)
                    t, _ := template.ParseFiles("D:/Golang/GoItem/go_ex/goSql/success.html")
                    t.Execute(w, nil)
                }
            }
        } else if sename == "" || partname == "" {
            fmt.Fprintf(w, "错误，输入不能为空！")
        }

    }

}


func infoErr(err error) {
    if err != nil {
        panic(err)
    }
}

func main() {
    http.HandleFunc("/login",login)     //设置访问的路由     //设置访问的路由
    err := http.ListenAndServe(":9092", nil) //设置监听的端口
    if err != nil {
        log.Fatal("ListenAndServe: ", err)
    }
}

//login.html


    

解决防SQL注入方案——参数化查询：

//test.go
package main

import (
    "database/sql"
    "fmt"
    _ "github.com/go-sql-driver/mysql"
    "html/template"
    "log"
    "net/http"
    "strings"
)

func login(w http.ResponseWriter, r *http.Request) {
    fmt.Println("method:", r.Method) //获取请求的方法
    if r.Method == "GET" {
        t, _ := template.ParseFiles("D:/Golang/GoItem/go_ex/goSql/login.html")
        t.Execute(w, nil)
    } else {
        //请求的是查询数据，那么执行查询的逻辑判断
        r.ParseForm()
        fmt.Println("username:", r.Form["username"])
        var sename = strings.Join(r.Form["username"], "")
        var partname = strings.Join(r.Form["password"], "")
        db, err := sql.Open("mysql", "root:123456@/test?charset=utf8")
        checkErr(err)
        if sename != "" && partname != "" {
            var uid int
            var username string
            var password string
            //参数查询在一定程度上防止sql注入，参数化查询主要做了两件事:
            //1.参数过滤；2.执行计划重用
            //因为执行计划被重用，所以可以防止SQL注入。
            err := db.QueryRow("SELECT * FROM userinfo WHERE username = ? AND password = ?", sename, partname).
                Scan(&uid, &username, &password)
            //判断返回的数据是否为空
            if err == sql.ErrNoRows {
                fmt.Fprintf(w, "无该用户数据")
            } else {
                if (sename == username) && (partname == password) {
                    fmt.Println(uid)
                    fmt.Println(username)
                    fmt.Println(password)
                    t, _ := template.ParseFiles("D:/Golang/GoItem/go_ex/goSQL/success.html")
                    t.Execute(w, nil)
                }
            }
        } else if sename == "" || partname == "" {
            fmt.Fprintf(w, "错误，输入不能为空！")
        }

    }

}

func checkErr(err error) {
    if err != nil {
        panic(err)
    }
}

func main() {
    http.HandleFunc("/login", login)     //设置访问的路由
    err := http.ListenAndServe(":9090", nil) //设置监听的端口
    if err != nil {
        log.Fatal("ListenAndServe: ", err)
    }
}

四、SQL注入判断

执行登录查询的数据库语句：

QueryRow("SELECT * FROM userinfo WHERE username = ? AND password = ?", sename, partname).
                Scan(&uid, &username, &password)

今天关于《Go语言SQL注入和防注入》的内容介绍就到此结束，如果有什么疑问或者建议，可以在golang学习网公众号下多多回复交流；文中若有不正之处，也希望回复留言以告知！