防止 Go Postgresql 中的 SQL 注入

Question

我在 Go 中的 postgresql 注入论坛上进行了研究，发现了一些关于 SQL 注入的有用信息，如下所示：

How to execute an IN lookup in SQL using Golang?

How can I prevent SQL injection attacks in Go while using "database/sql"?

但我仍然需要一些建议，因为我在 Go 中的代码使用了不同类型的代码和用例。 我需要建议的一些用例/问题是这样的

1. 使用查询循环进行多次插入，例如 INSERT INTO a (a1,a2,a3) VALUES (%d,%d,%s) 使用 fmt.Sprintf，我知道使用 sprintf 不好。那么对于插入的这个循环查询有什么解决方案吗？ 例如：INSERT INTO a (a1,a2,a3) VALUES (%d,%d,%s),(%d,%d,%s),(%d,%d,%s)
2. 如果参数使用%d 而不是%s，使用 fmt.Sprintf 生成查询是否安全？
3. 使用 Prepare 语句和 Query 是安全的，但如果我使用函数 Select（使用 $1、$2）和函数 NamedQuery（使用 struct named）怎么办？ 例如：Select * from a where text = $1 -> 使用这个$1 安全吗？ 和 例如：Select * from a where text = :text -> 这在 NamedQuery 函数中安全吗？

请各位大侠指教。谢谢！

Answer 1

首先，通常更喜欢使用 db 占位符？ 1 美元等。

1. 是的，使用带有整数参数的 fmt.Sprintf 来构建 SQL 是安全的，但如果可以的话，值得避免，但您的第三个参数是 %s - 避免使用并使用？
2. 是的，将 fmt.Sprintf 与整数参数一起使用是安全的，但 %s 或 %v 风险更大，我会避免，想不出你为什么需要它。
3. 在这里使用占位符，然后是安全的。

一般规则：

• 默认使用占位符，应该很少使用 %d（例如在您的 IN 查询中）
• 在任何验证或使用之前将参数解析为整数等类型
• 尽可能避免字符串连接，并特别注意字符串参数
• 始终对列名和表名等内容进行硬编码，切勿根据用户输入生成它们（例如 ?sort=mystringcolname）
• 始终验证您获得的参数仅是为该用户授权的参数