目录
- 1. 问题提出
- 2. 例子
-
- 例子 1
- 例子2
- 3. 总结
1. 问题提出 大家觉得这样写的
sql 会发生sql 注入吗 ?
文章图片
答案是肯定的。那么我们知道,一旦发生字符串的拼接,就会产生这个2. 例子 例子 1 那么我们可以来实践一下下面两种写法sql注入的问题。但有同学会疑惑,这个 sql 语句,难道gorm不会帮忙预检测的吗?
- 字符串拼接
id := "031904102" + " AND 1=1 "
where := "stu_number=" + id
err := DB.Model(&User{}).Where(where).Find(&user).Error
if err != nil {
fmt.Println(err)
}
- 直接使用占位符
user2 := []User{}
err = DB.Model(&User{}).Where("stu_number=?", id).Find(&user2).Error
if err != nil {
fmt.Println(err)
}
通过打印出执行地SQL语句,我们可以发现这个情况,其实第一种情况的写法这是不行的,因为这里SQL发生了注入,本来只查一条 stu_number 为 031904102的,但是由于后面注入了 1=1 所以把数据库里面的信息全部查出来了。
文章图片
第一种的这里是有危险的。,那么我们如何将这个防止呢?其实我们只要按照上面第二种这种做法就好了。因为这样我们才能很好地通过占位符来进行判断。例子2 那么我们再来看看如果注入了两条SQL语句会怎么样?
比如说这个
文章图片
我们直接注入了drop table notice 。那么最终的SQL语句如下:
SELECT * FROM `user` WHERE stu_number=031904102;
drop table notice;
这个在SQL里面肯定是可以执行的。但是在gorm这个框架中是不能执行的。
文章图片
3. 总结 【遇见Golang|【SQL注入】关于GORM的SQL注入问题】所以说我们要避免使用字符串直接拼接的形式来进行SQL的查询。
推荐阅读
- asp.net|netcore基于asp.net的校园二手闲置商品交易系统
- 数学建模比赛|2022华为杯研究生数学建模赛题思路分析
- 弱隔离级别 & 事务并发问题
- JavaWeb从入门到实战|【JavaWeb】JDBC实战
- JavaWeb从入门到实战|【JavaWeb】数据库连接池
- springBoot|SpringBoot 集成 MybatisPlus 自动生成简单的CRUD,可结合构造器使用
- Mybatis|SpringBoot整合Mybatisplus
- ui|Spring Boot 揭秘与实战
- ui|Spring Boot揭秘与实战 - 收藏集 - 掘金