亚洲在线久爱草,狠狠天天香蕉网,天天搞日日干久草,伊人亚洲日本欧美

為了賬號安全,請及時綁定郵箱和手機立即綁定
已解決430363個問題,去搜搜看,總會有你想問的

防止beego中的SQL注入

防止beego中的SQL注入

Go
慕哥9229398 2022-07-11 16:46:27
我正在使用選擇查詢使用以下代碼從我的表中獲取一些行。func (f *UserFilter) ListAllUsers(srch string) (cnt int64, l []*ListResp, err error) {    o := orm.NewOrm()    var args []interface{}    var w string    q := `SELECT * FROM users WHERE 1 = 1`    if srch != "" {        q += ` AND (LOWER(first_name) LIKE %?% OR LOWER(last_name) LIKE %?% OR id = ?)`        args = append(args, srch, srch, srch)    }    _, err = o.Raw(q, args).QueryRows(&l)    return}雖然我使用準備好的語句來綁定值,但它們沒有正確轉義字段first_name和last_name. 例如,如果值為srchTes't,它將中斷查詢。有什么方法可以轉義這些值,以便在使用 MySql 驅動程序時防止 SQL 注入?任何幫助深表感謝。提前致謝。
查看完整描述

1 回答

?
呼喚遠方

TA貢獻1856條經驗 獲得超11個贊

%通配符應該在字符串之內,而不是在字符串之外,即... LIKE %'foo'% ...無效,... LIKE '%foo%' ...有效。更多關于LIKE。


func (f *UserFilter) ListAllUsers(srch string) (cnt int64, l []*ListResp, err error) {

    o := orm.NewOrm()

    var args []interface{}

    var w string

    q := `SELECT * FROM users WHERE 1 = 1`

    if srch != "" {

        q += ` AND (LOWER(first_name) LIKE ? OR LOWER(last_name) LIKE ? OR id = ?)`

        args = append(args, "%"+srch+"%", "%"+srch+"%", srch)

    }

    _, err = o.Raw(q, args...).QueryRows(&l)


    return

}

或使用mysql的CONCAT:


func (f *UserFilter) ListAllUsers(srch string) (cnt int64, l []*ListResp, err error) {

    o := orm.NewOrm()

    var args []interface{}

    var w string

    q := `SELECT * FROM users WHERE 1 = 1`

    if srch != "" {

        q += ` AND (LOWER(first_name) LIKE CONCAT('%', ?, '%') OR LOWER(last_name) LIKE CONCAT('%', ?, '%') OR id = ?)`

        args = append(args, srch, srch, srch)

    }

    _, err = o.Raw(q, args...).QueryRows(&l)


    return

}


查看完整回答
反對 回復 2022-07-11
  • 1 回答
  • 0 關注
  • 270 瀏覽
慕課專欄
更多

添加回答

舉報

0/150
提交
取消
微信客服

購課補貼
聯系客服咨詢優惠詳情

 幫助反饋 APP下載

慕課網APP
您的移動學習伙伴

 公眾號

掃描二維碼
關注慕課網微信公眾號