This topic created in 2506 days ago, the information mentioned may be changed or developed.
router.POST("/post", func(c *gin.Context) {
keyword := c.Query("keyword")
keyword="%"+keyword+"%"
rows, err := db.Query(`SELECT * From user where name like ?`,keyword)
伪代码,请见谅。
问题:这样拼接 like 参数(主要是加通配符),会有注入风险吗?
最佳实践是什么?
keyword := c.Query("keyword")
keyword="%"+keyword+"%"
rows, err := db.Query(`SELECT * From user where name like ?`,keyword)
伪代码,请见谅。
问题:这样拼接 like 参数(主要是加通配符),会有注入风险吗?
最佳实践是什么?
 | 1 zuoakang Jun 17, 2019 via Android  3 肯定的咯,一般都是把 keyword 再加一层双引号 |
 | 2 blless Jun 17, 2019 via Android 1 参数化查询了解一下 |
 | 3 F281M6Dh8DXpD1g2 Jun 17, 2019 via iPhone 2 不用 preparedstatement 避免不了 |
 | 4 raptium Jun 17, 2019 2 楼主的例子应该就已经是参数化的了吧,我看着好像没问题啊 |
 | 5 Takamine Jun 17, 2019 via Android 1 一般都是走预编译吧。 不放心就加一层参数检验正则就行。 |
| 6 raptium Jun 18, 2019 via iPhone 1 又想了一下,如果 keyword 里本来就有 % 似乎查到的就不是想要的了。 |
 | 8 wenzhoou Jun 18, 2019 via Android 1 应该是没有问题,但是实际上还是应该做,去除控制字符,并且分词然后查询 |
 | 9 ebingtel Jun 18, 2019 1 没问题 你的 sql 里面已经有"?"占位符了……客户端会做预编译的 |
 | 10 razertory Jun 18, 2019 1 注入不会。不过要考虑索引问题, |
 | 11 msg7086 Jun 18, 2019 1 keyword 本身还要做%和_的转义吧。 |
 | 12 loading OP 感谢楼上所有老铁。 |
 | 13 spacewander Jun 20, 2019 如果只是想查询是否包含给定的 keyword,可以试下用 DB 提供的字符串查找 SQL 函数,比如 strpos。性能会好些,另外不用担心转义的问题。 |
Select Language