使用 fmt.Sprintf 防止 Go 中的 sql 注入以进行本机查询

Question

此查询是否会导致 sql 注入或对查询插入语句不利

    query := fmt.Sprintf("INSERT INTO users(%s) VALUES(%s) RETURNING user_id, otp",
        repo.getColumns(), // returning users columns
        repo.setValues(), // looping to create $1, $2 (depent length of users columns)
    )
    stmt, err := db.Prepare(query)
    checkError(err)
    defer func() {
        if err = stmt.Close(); err != nil {
            panic(err.Error())
        }
    }()
    err = stmt.QueryRowContext(ctx,
        user.Email,
        user.CardID,
        user.CardFee,
        user.PhoneNumber,
        user.Gender,
        user.BirthDate,
        user.BirthCityID,
        user.Education,
        user.MotherName,
        user.MotherPhone,
        user.PartnerPhone,
        user.FamilyCardNumber,
        user.Religion,
        user.CitizenShip,
        user.MaritalStatus,
        user.SpouseCardID,
        user.SpouseFullName,
        user.SpouseBirthDate,
    ).Scan(&userData.ID, &userData.CardID)

这里repo.getColumns() 是一个返回用户列 字符串的方法，setValues() 是一个字符串操作，用于从方法@ 上用户列的长度创建$1、$2、... 987654324@ 会不会有潜在的安全性？？对 QueryRowContext 参数第二个也是如此......它是...interface{}，如果我有很多列，我应该一一输入手册，这是为了让它更短吗？

Answer 1

sql注入攻击的可能性在于函数调用repo.getColumns()和repo.setValues()返回的值。

问题是您对这些函数返回的内容有多少控制权？他们的行为是否基于用户输入？如果是这样，那么您可以通过一些简单的模式处理来保护自己免受注入攻击 - 例如，如果您需要一个名称，请检查输入是否仅包含字母和空格。

您还可以尝试排除任何可用于注入攻击且不应作为值列名称的一部分的特殊标志。

...如果我有很多列，我应该一一输入手册，这是为了缩短它吗？

我建议就此提出一个单独的问题，因为这是一个独特的问题。