数据库 like 参数用拼接会有隐患吗？ - V2EX

Home Sign Up Sign In

The Go Programming Language

› http://golang.org/

› Go Playground

Go Projects

› Revel Web Framework

This topic created in 2547 days ago, the information mentioned may be changed or developed.

router.POST("/post", func(c *gin.Context) {

keyword := c.Query("keyword")

keyword="%"+keyword+"%"

rows, err := db.Query(`SELECT * From user where name like ?`,keyword)

伪代码，请见谅。

问题:这样拼接 like 参数(主要是加通配符)，会有注入风险吗？
最佳实践是什么？

13 replies • 2019-06-20 19:18:56 +08:00

1

zuoakang

Jun 17, 2019 via Android

3

肯定的咯，一般都是把 keyword 再加一层双引号

2

blless

Jun 17, 2019 via Android

1

参数化查询了解一下

3

F281M6Dh8DXpD1g2

Jun 17, 2019 via iPhone

2

不用 preparedstatement 避免不了

4

raptium

Jun 17, 2019

2

楼主的例子应该就已经是参数化的了吧，我看着好像没问题啊

5

Takamine

Jun 17, 2019 via Android

1

一般都是走预编译吧。
不放心就加一层参数检验正则就行。

6

raptium

Jun 18, 2019 via iPhone

1

又想了一下，如果 keyword 里本来就有 % 似乎查到的就不是想要的了。

7

loading

OP

Jun 18, 2019 via Android

@raptium keyword 这个起码可以在前端搞定，差不到只是涉及到对不对而已，这个后端关注的应该是安全性多一些。

8

wenzhoou

Jun 18, 2019 via Android

1

应该是没有问题，但是实际上还是应该做，去除控制字符，并且分词然后查询

9

ebingtel

Jun 18, 2019

1

没问题你的 sql 里面已经有"?"占位符了……客户端会做预编译的

10

razertory

Jun 18, 2019

1

注入不会。不过要考虑索引问题，

11

msg7086

Jun 18, 2019

1

keyword 本身还要做%和_的转义吧。

12

loading

OP

Jun 18, 2019 via Android

感谢楼上所有老铁。

13

spacewander

Jun 20, 2019

如果只是想查询是否包含给定的 keyword，可以试下用 DB 提供的字符串查找 SQL 函数，比如 strpos。性能会好些，另外不用担心转义的问题。

About · Help · Advertise · Blog · API · FAQ · Solana · 3358 Online Highest 6679 ·

Select Language

创意工作者们的社区

World is powered by solitude

VERSION: 3.9.8.5 · 47ms · UTC 00:41 · PVG 08:41 · LAX 17:41 · JFK 20:41
♥ Do have faith in what you're doing.