This topic created in 2506 days ago, the information mentioned may be changed or developed.
router.POST("/post", func(c *gin.Context) {
keyword := c.Query("keyword")
keyword="%"+keyword+"%"
rows, err := db.Query(`SELECT * From user where name like ?`,keyword)
伪代码,请见谅。
问题:这样拼接 like 参数(主要是加通配符),会有注入风险吗?
最佳实践是什么?
keyword := c.Query("keyword")
keyword="%"+keyword+"%"
rows, err := db.Query(`SELECT * From user where name like ?`,keyword)
伪代码,请见谅。
问题:这样拼接 like 参数(主要是加通配符),会有注入风险吗?
最佳实践是什么?
 |
1
zuoakang Jun 17, 2019 via Android  3
肯定的咯,一般都是把 keyword 再加一层双引号
|
 |
2
blless Jun 17, 2019 via Android 1
参数化查询了解一下
|
 |
3
F281M6Dh8DXpD1g2 Jun 17, 2019 via iPhone 2
不用 preparedstatement 避免不了
|
 |
4
raptium Jun 17, 2019 2
楼主的例子应该就已经是参数化的了吧,我看着好像没问题啊
|
 |
5
Takamine Jun 17, 2019 via Android 1
一般都是走预编译吧。
不放心就加一层参数检验正则就行。 |
|
6
raptium Jun 18, 2019 via iPhone 1
又想了一下,如果 keyword 里本来就有 % 似乎查到的就不是想要的了。
|
 |
8
wenzhoou Jun 18, 2019 via Android 1
应该是没有问题,但是实际上还是应该做,去除控制字符,并且分词然后查询
|
 |
9
ebingtel Jun 18, 2019 1
没问题 你的 sql 里面已经有"?"占位符了……客户端会做预编译的
|
 |
10
razertory Jun 18, 2019 1
注入不会。不过要考虑索引问题,
|
 |
11
msg7086 Jun 18, 2019 1
keyword 本身还要做%和_的转义吧。
|
 |
12
loading OP 感谢楼上所有老铁。
|
 |
13
spacewander Jun 20, 2019
如果只是想查询是否包含给定的 keyword,可以试下用 DB 提供的字符串查找 SQL 函数,比如 strpos。性能会好些,另外不用担心转义的问题。
|
Select Language