这是一个创建于 2409 天前的主题,其中的信息可能已经有所发展或是发生改变。
router.POST("/post", func(c *gin.Context) {
keyword := c.Query("keyword")
keyword="%"+keyword+"%"
rows, err := db.Query(`SELECT * From user where name like ?`,keyword)
伪代码,请见谅。
问题:这样拼接 like 参数(主要是加通配符),会有注入风险吗?
最佳实践是什么?
keyword := c.Query("keyword")
keyword="%"+keyword+"%"
rows, err := db.Query(`SELECT * From user where name like ?`,keyword)
伪代码,请见谅。
问题:这样拼接 like 参数(主要是加通配符),会有注入风险吗?
最佳实践是什么?
 |
1
zuoakang 2019 年 6 月 17 日 via Android  3
肯定的咯,一般都是把 keyword 再加一层双引号
|
 |
2
blless 2019 年 6 月 17 日 via Android 1
参数化查询了解一下
|
 |
3
F281M6Dh8DXpD1g2 2019 年 6 月 17 日 via iPhone 2
不用 preparedstatement 避免不了
|
 |
4
raptium 2019 年 6 月 17 日 2
楼主的例子应该就已经是参数化的了吧,我看着好像没问题啊
|
 |
5
Takamine 2019 年 6 月 17 日 via Android 1
一般都是走预编译吧。
不放心就加一层参数检验正则就行。 |
|
6
raptium 2019 年 6 月 18 日 via iPhone 1
又想了一下,如果 keyword 里本来就有 % 似乎查到的就不是想要的了。
|
 |
7
loading OP @raptium keyword 这个起码可以在前端搞定,差不到只是涉及到对不对而已,这个后端关注的应该是安全性多一些。
|
 |
8
wenzhoou 2019 年 6 月 18 日 via Android 1
应该是没有问题,但是实际上还是应该做,去除控制字符,并且分词然后查询
|
 |
9
ebingtel 2019 年 6 月 18 日 1
没问题 你的 sql 里面已经有"?"占位符了……客户端会做预编译的
|
 |
10
razertory 2019 年 6 月 18 日 1
注入不会。不过要考虑索引问题,
|
 |
11
msg7086 2019 年 6 月 18 日 1
keyword 本身还要做%和_的转义吧。
|
|
12
loading OP 感谢楼上所有老铁。
|
 |
13
spacewander 2019 年 6 月 20 日
如果只是想查询是否包含给定的 keyword,可以试下用 DB 提供的字符串查找 SQL 函数,比如 strpos。性能会好些,另外不用担心转义的问题。
|
Select Language