在Go语言中,为了防止SQL注入攻击,你可以使用预编译语句(prepared statements)和参数化查询。Go的database/sql包提供了对预编译语句的支持。这里是一个简单的示例,展示了如何使用预编译语句防止SQL注入:
package main
import (
"database/sql"
"fmt"
"log"
_ "github.com/go-sql-driver/mysql"
)
func main() {
// 连接数据库
db, err := sql.Open("mysql", "username:password@tcp(localhost:3306)/dbname")
if err != nil {
log.Fatal(err)
}
defer db.Close()
// 准备SQL语句
stmt, err := db.Prepare("INSERT INTO users(username, password) VALUES (?, ?)")
if err != nil {
log.Fatal(err)
}
defer stmt.Close()
// 执行SQL语句
_, err = stmt.Exec("JohnDoe", "password123")
if err != nil {
log.Fatal(err)
}
fmt.Println("User inserted successfully")
}
在这个示例中,我们使用了db.Prepare()函数来准备一个带有参数的SQL语句。注意问号(?)作为占位符,它们将在执行时被实际的参数值替换。这种方法可以确保用户输入的数据不会被解释为SQL代码,从而防止SQL注入攻击。
当你需要执行多个相似的SQL语句时,预编译语句是一个很好的选择,因为它们只需要在数据库中编译一次,然后可以多次执行。这样可以提高性能并减少SQL注入的风险。