[TOC] ## 什么是SQL注入 SQL注入攻擊（SQL Injection），簡稱注入攻擊，是Web開發中最常見的一種安全漏洞, 而造成SQL注入的原因是因為程序沒有有效過濾用戶的輸入，使攻擊者成功的向服務器提交惡意的SQL查詢代碼，程序在接收后錯誤的將攻擊者的輸入作為查詢語句的一部分執行，導致原始的查詢邏輯被改變，額外的執行了攻擊者精心構造的惡意代碼 ## SQL注入實例 ``` username:=r.Form.Get("username") password:=r.Form.Get("password") sql:="SELECT * FROM user WHERE username='"+username+"' AND password='"+password+"'" ``` 如果用戶的輸入的用戶名如下，密碼任意 ``` myuser' or 'foo' = 'foo' -- ``` 則變成 ``` SELECT * FROM user WHERE username='myuser' or 'foo' = 'foo' --'' AND password='xxx' ``` 在SQL里面`--`是注釋標記，所以查詢語句會在此中斷。這就讓攻擊者在不知道任何合法用戶名和密碼的情況下成功登錄了 <br/> 其實把用戶名變為,似乎也可以 ``` myuser' -- ``` ## 如何預防SQL注入 1. 嚴格限制Web應用的數據庫的操作權限，給此用戶提供僅僅能夠滿足其工作的最低權限，從而最大限度的減少注入攻擊對數據庫的危害。 2. 檢查輸入的數據是否具有所期望的數據格式，嚴格限制變量的類型，例如使用regexp包進行一些匹配處理，或者使用strconv包對字符串轉化成其他基本類型的數據進行判斷。 3. 對進入數據庫的特殊字符（'"\\尖括號&\*;等）進行轉義處理，或編碼轉換。Go 的`text/template`包里面的`HTMLEscapeString`函數可以對字符串進行轉義處理。 4. 所有的查詢語句建議使用數據庫提供的參數化查詢接口，參數化的語句使用參數而不是將用戶輸入變量嵌入到SQL語句中，即不要直接拼接SQL語句。例如使用`database/sql`里面的查詢函數`Prepare`和`Query`，或者`Exec(query string, args ...interface{})`。 5. 在應用發布之前建議使用專業的SQL注入檢測工具進行檢測，以及時修補被發現的SQL注入漏洞。網上有很多這方面的開源工具，例如sqlmap、SQLninja等。 6. 避免網站打印出SQL錯誤信息，比如類型錯誤、字段不匹配等，把代碼里的SQL語句暴露出來，以防止攻擊者利用這些錯誤信息進行SQL注入。