在過去的工作中,我為我們的服務(wù)維護(hù)了一個(gè)允許臨時(shí)查詢的工具.它允許管理員在不必等待數(shù)周的代碼部署的情況下請(qǐng)求報(bào)告(在部署需要數(shù)周的古怪時(shí)期).

我們不支持臨時(shí)報(bào)表查詢,方法是讓服務(wù)接受任意字符串作為輸入,并將它們作為SQL執(zhí)行.這是非常不安全的,因?yàn)槲蚁嘈拍阒?

它的工作方式是報(bào)告查詢存儲(chǔ)在數(shù)據(jù)庫中,以及所需的查詢參數(shù)數(shù)量.

CREATE TABLE ManagerQueries (

id INT PRIMARY KEY,

query TEXT NOT NULL,

description TEXT NOT NULL,

num_params TINYINT UNSIGNED NOT NULL DEFAULT 0

);

INSERT INTO ManagerQueries

SET query = 'SELECT COUNT(*) FROM logins WHERE user_id = {0} AND created_at > {1}',

description = 'Count a given user logins since a date',

num_params = 2;

管理器前端可以通過其主鍵請(qǐng)求查詢,而不是通過在Web請(qǐng)求中指定任意SQL字符串.

只有DBA以及可能知道如何編寫安全查詢的其他開發(fā)人員或經(jīng)理才允許向此存儲(chǔ)庫添加新查詢,因此可以確保查詢經(jīng)過測試和審查.

通過UI請(qǐng)求報(bào)表查詢時(shí),它強(qiáng)制用戶提供查詢參數(shù)的值.在我們的例子中,它從數(shù)據(jù)庫中讀取SQL,執(zhí)行prepare()然后綁定execute()的值.所以SQL注入防御很滿意.

在您的情況下,您的代碼可能無法直接訪問舊服務(wù)的數(shù)據(jù)庫,因此您無法執(zhí)行準(zhǔn)備/執(zhí)行并使用綁定參數(shù).您必須提交具有集成值的靜態(tài)查詢.

在其他語言中,您可以通過轉(zhuǎn)義使任何字符串值安全插入到SQL查詢中.請(qǐng)參閱MySQL C API函數(shù)mysql_real_escape_string().

數(shù)字值更容易.你不必逃避任何事情,你只需要確保數(shù)值是真正的數(shù)字.將動(dòng)態(tài)值轉(zhuǎn)換為數(shù)字后,可以安全地插入到任何SQL字符串中.

不幸的是,我不認(rèn)為golang SQL包支持任何轉(zhuǎn)義函數(shù).這已被要求作為一項(xiàng)功能,但據(jù)我所知,目前還沒有支持的實(shí)現(xiàn).見這里的討論：https://github.com/golang/go/issues/18478

請(qǐng)注意,它比使用正則表達(dá)式替換有點(diǎn)棘手,因?yàn)槟枰紤]多字節(jié)字符集.

創(chuàng)作挑戰(zhàn)賽新人創(chuàng)作獎(jiǎng)勵(lì)來咯，堅(jiān)持創(chuàng)作打卡瓜分現(xiàn)金大獎(jiǎng)

總結(jié)

以上是生活随笔為你收集整理的golang防止MySQL注入_mysql – 如何最大限度地降低golang服务中下游服务中SQL注入的风险？...的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。