预先构建SQL查询(防止SQL注入)
如果要为每个值生成一个带有参数占位符的SQL字符串,则立即生成最终SQL会更容易。
请注意,由于值是
strings,因此存在进行SQL注入攻击的位置,因此我们首先测试所有
string值是否确实是数字,并且仅在以下情况下进行:
tags := []string{"1", "2", "3"}buf := bytes.NewBufferString("SELECt COUNT(id) FROM tags WHERe id IN(")for i, v := range tags { if i > 0 { buf.WriteString(",") } if _, err := strconv.Atoi(v); err != nil { panic("Not number!") } buf.WriteString(v)}buf.WriteString(")")执行它:
num := 0if err := Db.QueryRow(buf.String()).Scan(&num); err != nil { log.Println(err)}使用 ANY
您还可以使用Postgresql的
ANY,其语法如下:
expression operator ANY (array expression)
使用该查询,我们的查询可能如下所示:
SELECt COUNT(id) FROM tags WHERe id = ANY('{1,2,3}'::int[])在这种情况下,您可以将数组的文本形式声明为参数:
SELECt COUNT(id) FROM tags WHERe id = ANY($1::int[])
可以这样简单地构建:
tags := []string{"1", "2", "3"}param := "{" + strings.Join(tags, ",") + "}"请注意,在这种情况下不需要检查,因为数组表达式将不允许SQL注入(而是将导致查询执行错误)。
所以完整的代码:
tags := []string{"1", "2", "3"}q := "SELECt COUNT(id) FROM tags WHERe id = ANY($1::int[])"param := "{" + strings.Join(tags, ",") + "}"num := 0if err := Db.QueryRow(q, param).Scan(&num); err != nil { log.Println(err)}
