Go?連接?MySQL之?MySQL?預(yù)處理詳解

更新時(shí)間：2023年06月14日 08:29:11 作者：尋月隱君

Go語(yǔ)言提供了豐富的庫(kù)和工具，可以方便地連接MySQL數(shù)據(jù)庫(kù)。MySQL預(yù)處理是一種提高數(shù)據(jù)庫(kù)操作效率和安全性的技術(shù)。Go語(yǔ)言中的第三方庫(kù)提供了MySQL預(yù)處理的支持，通過(guò)使用預(yù)處理語(yǔ)句，可以避免SQL注入攻擊，并且可以提高數(shù)據(jù)庫(kù)操作的效率。

一、ChatGPT 關(guān)于 MySQL 預(yù)處理的回答

問(wèn)：什么是MySQL 的預(yù)處理具體執(zhí)行過(guò)程時(shí)什么

ChatGPT 答：

MySQL的預(yù)處理是一種在執(zhí)行SQL語(yǔ)句之前，先進(jìn)行編譯和優(yōu)化的機(jī)制。它將SQL語(yǔ)句分成兩個(gè)階段：預(yù)處理階段和執(zhí)行階段。

具體的執(zhí)行過(guò)程如下：

預(yù)處理階段：
- 應(yīng)用程序發(fā)送SQL語(yǔ)句給MySQL服務(wù)器，將其中的參數(shù)部分用占位符（如?）代替，形成一個(gè)預(yù)處理語(yǔ)句。
- MySQL服務(wù)器對(duì)預(yù)處理語(yǔ)句進(jìn)行解析、編譯和優(yōu)化。
- 在這個(gè)階段，MySQL會(huì)檢查語(yǔ)法的正確性，創(chuàng)建執(zhí)行計(jì)劃，以及進(jìn)行權(quán)限驗(yàn)證等。
執(zhí)行階段：
- 在預(yù)處理完成后，應(yīng)用程序可以多次執(zhí)行這個(gè)預(yù)處理語(yǔ)句，每次執(zhí)行時(shí)只需提供具體的參數(shù)值。
- 應(yīng)用程序?qū)⒕唧w的參數(shù)值綁定到預(yù)處理語(yǔ)句的占位符上。
- MySQL服務(wù)器使用綁定的參數(shù)值執(zhí)行預(yù)處理語(yǔ)句，并返回執(zhí)行結(jié)果。

預(yù)處理的好處包括：

提高執(zhí)行效率：預(yù)處理語(yǔ)句只需要編譯一次，后續(xù)的執(zhí)行可以重復(fù)使用，避免了每次執(zhí)行都要重新解析和編譯的開(kāi)銷(xiāo)。
防止SQL注入：通過(guò)使用參數(shù)化查詢(xún)，將參數(shù)值與SQL語(yǔ)句分開(kāi)處理，可以防止惡意用戶(hù)利用輸入數(shù)據(jù)進(jìn)行SQL注入攻擊。
簡(jiǎn)化參數(shù)處理：預(yù)處理語(yǔ)句可以通過(guò)占位符來(lái)接收參數(shù)，避免了手動(dòng)拼接SQL語(yǔ)句的繁瑣和潛在的錯(cuò)誤。

總結(jié)而言，MySQL的預(yù)處理是一種提前編譯和優(yōu)化SQL語(yǔ)句的機(jī)制，它將SQL語(yǔ)句分為預(yù)處理和執(zhí)行兩個(gè)階段，提高了執(zhí)行效率和安全性，并簡(jiǎn)化了參數(shù)處理過(guò)程。

問(wèn)：Go實(shí)現(xiàn)MySQL預(yù)處理

ChatGPT 答：

在 Go 中，可以使用官方提供的 database/sql 包來(lái)實(shí)現(xiàn) MySQL 的預(yù)處理。下面是一個(gè)示例代碼，展示了如何在 Go 中進(jìn)行 MySQL 預(yù)處理：

import (
	"database/sql"
	"fmt"
	"log"

	_ "github.com/go-sql-driver/mysql"
)

func main() {
	db, err := sql.Open("mysql", "username:password@tcp(hostname:port)/database")
	if err != nil {
		log.Fatal(err)
	}
	defer db.Close()

	// 準(zhǔn)備預(yù)處理語(yǔ)句
	stmt, err := db.Prepare("INSERT INTO users (name, age) VALUES (?, ?)")
	if err != nil {
		log.Fatal(err)
	}
	defer stmt.Close()

	// 執(zhí)行預(yù)處理語(yǔ)句
	name := "John"
	age := 30
	_, err = stmt.Exec(name, age)
	if err != nil {
		log.Fatal(err)
	}

	fmt.Println("Insert successful!")
}

在上述代碼中，我們使用 sql.Open 函數(shù)建立與 MySQL 數(shù)據(jù)庫(kù)的連接。然后使用 db.Prepare 函數(shù)準(zhǔn)備預(yù)處理語(yǔ)句，其中 SQL 語(yǔ)句中的參數(shù)位置用占位符 ? 表示。接下來(lái)，通過(guò) stmt.Exec 函數(shù)執(zhí)行預(yù)處理語(yǔ)句，并傳入具體的參數(shù)值。最后，我們?cè)?nbsp;main 函數(shù)中進(jìn)行了錯(cuò)誤處理，并打印了插入成功的消息。

請(qǐng)確保在代碼中填入正確的 MySQL 連接信息（用戶(hù)名、密碼、主機(jī)名、端口號(hào)和數(shù)據(jù)庫(kù)名），以便與目標(biāo)數(shù)據(jù)庫(kù)建立連接。同時(shí)，請(qǐng)根據(jù)實(shí)際的預(yù)處理語(yǔ)句和參數(shù)進(jìn)行適當(dāng)?shù)男薷摹?/p>

注意：上述示例代碼僅演示了預(yù)處理的基本流程，并沒(méi)有包含完整的錯(cuò)誤處理和其他功能。在實(shí)際應(yīng)用中，建議加入適當(dāng)?shù)腻e(cuò)誤處理、事務(wù)處理等機(jī)制，以確保代碼的健壯性和安全性。

問(wèn)：MySQL預(yù)處理適用于什么場(chǎng)景？

ChatGPT 答：

MySQL預(yù)處理適用于以下場(chǎng)景：

執(zhí)行頻繁的重復(fù)查詢(xún)：如果應(yīng)用程序需要多次執(zhí)行相同的SQL查詢(xún)，但只是參數(shù)值不同，預(yù)處理可以減少服務(wù)器的工作量。預(yù)處理語(yǔ)句只需要編譯一次，后續(xù)的執(zhí)行可以重復(fù)使用，避免了每次都重新解析和編譯SQL語(yǔ)句的開(kāi)銷(xiāo)。
參數(shù)化查詢(xún)：當(dāng)需要執(zhí)行帶有參數(shù)的查詢(xún)時(shí)，預(yù)處理可以提高安全性并防止SQL注入攻擊。通過(guò)使用參數(shù)化查詢(xún)，將參數(shù)值與SQL語(yǔ)句分開(kāi)處理，可以確保輸入數(shù)據(jù)被正確地轉(zhuǎn)義和處理，避免惡意用戶(hù)利用輸入數(shù)據(jù)進(jìn)行攻擊。
提高性能：預(yù)處理可以在編譯和優(yōu)化階段對(duì)SQL語(yǔ)句進(jìn)行處理，生成更高效的執(zhí)行計(jì)劃。這可以提高查詢(xún)的性能和響應(yīng)時(shí)間，特別是對(duì)于復(fù)雜查詢(xún)或涉及大量數(shù)據(jù)的查詢(xún)。
簡(jiǎn)化參數(shù)處理：預(yù)處理語(yǔ)句可以通過(guò)占位符（如?）來(lái)接收參數(shù)值，避免了手動(dòng)拼接SQL語(yǔ)句的繁瑣和潛在的錯(cuò)誤。同時(shí)，使用預(yù)處理語(yǔ)句可以直接將參數(shù)值綁定到占位符上，而無(wú)需手動(dòng)轉(zhuǎn)義和處理參數(shù)值。

總結(jié)而言，MySQL預(yù)處理適用于需要執(zhí)行重復(fù)查詢(xún)、參數(shù)化查詢(xún)、提高性能和簡(jiǎn)化參數(shù)處理的場(chǎng)景。它可以減少服務(wù)器的工作量，提高查詢(xún)的安全性和性能，并簡(jiǎn)化代碼的編寫(xiě)和維護(hù)。

二、Go 實(shí)現(xiàn) MySQL 預(yù)處理

查詢(xún)

package main

import (
	"database/sql"
	"fmt"
	"time"

	_ "github.com/go-sql-driver/mysql" // 匿名導(dǎo)入 自動(dòng)執(zhí)行 init()
)

var db *sql.DB

func initMySQL() (err error) {
	//DSN (Data Source Name)
	dsn := "root:12345678@tcp(127.0.0.1:3306)/sql_test"
	// 注意：要初始化全局的 db 對(duì)象，不要新聲明一個(gè) db 變量
	db, err = sql.Open("mysql", dsn) // 只對(duì)格式進(jìn)行校驗(yàn)，并不會(huì)真正連接數(shù)據(jù)庫(kù)
	if err != nil {
		return err
	}

	// Ping 驗(yàn)證與數(shù)據(jù)庫(kù)的連接是否仍處于活動(dòng)狀態(tài)，并在必要時(shí)建立連接。
	err = db.Ping()
	if err != nil {
		fmt.Printf("connect to db failed, err: %v\n", err)
		return err
	}
	// 數(shù)值需要根據(jù)業(yè)務(wù)具體情況來(lái)確定
	db.SetConnMaxLifetime(time.Second * 10) // 設(shè)置可以重用連接的最長(zhǎng)時(shí)間
	db.SetConnMaxIdleTime(time.Second * 5)  // 設(shè)置連接可能處于空閑狀態(tài)的最長(zhǎng)時(shí)間
	db.SetMaxOpenConns(200)                 // 設(shè)置與數(shù)據(jù)庫(kù)的最大打開(kāi)連接數(shù)
	db.SetMaxIdleConns(10)                  //  設(shè)置空閑連接池中的最大連接數(shù)
	return nil
}

type user struct {
	id   int
	age  int
	name string
}

// 預(yù)處理查詢(xún)
func prepareQueryDemo(id int) {
	sqlStr := "SELECT id, name, age FROM user WHERE id > ?"
	stmt, err := db.Prepare(sqlStr)
	if err != nil {
		fmt.Printf("prepare failed, err: %v\n", err)
		return
	}
	defer stmt.Close()
	rows, err := stmt.Query(id)
	if err != nil {
		fmt.Printf("query failed, err: %v\n", err)
		return
	}
	defer rows.Close()
	// 循環(huán)讀取結(jié)果集中的數(shù)據(jù)
	for rows.Next() {
		var u user
		err := rows.Scan(&u.id, &u.name, &u.age)
		if err != nil {
			fmt.Printf("scan failed, err: %v\n", err)
			return
		}
		fmt.Printf("id: %d name: %s age: %d\n", u.id, u.name, u.age)
	}
}

func main() {
	if err := initMySQL(); err != nil {
		fmt.Printf("connect to db failed, err: %v\n", err)
	}
	// 檢查完錯(cuò)誤之后執(zhí)行，確保 db 不為 nil
	// Close() 用來(lái)釋放數(shù)據(jù)庫(kù)連接相關(guān)的資源
	// Close 將關(guān)閉數(shù)據(jù)庫(kù)并阻止啟動(dòng)新查詢(xún)。關(guān)閉，然后等待服務(wù)器上已開(kāi)始處理的所有查詢(xún)完成。
	defer db.Close()

	fmt.Println("connect to database success")
	// db.xx() 去使用數(shù)據(jù)庫(kù)操作...

	// MySQL預(yù)處理查詢(xún)多行數(shù)據(jù)
	prepareQueryDemo(0)
}

運(yùn)行

Code/go/mysql_demo via ?? v1.20.3 via ?? base 
? go run main.go
connect to database success
id: 1 name: 小喬 age: 16
id: 2 name: 小喬 age: 12

Code/go/mysql_demo via ?? v1.20.3 via ?? base 
?

插入、更新和刪除操作的預(yù)處理基本一樣，下面是插入示例

package main

import (
	"database/sql"
	"fmt"
	"time"

	_ "github.com/go-sql-driver/mysql" // 匿名導(dǎo)入 自動(dòng)執(zhí)行 init()
)

var db *sql.DB

func initMySQL() (err error) {
	//DSN (Data Source Name)
	dsn := "root:12345678@tcp(127.0.0.1:3306)/sql_test"
	// 注意：要初始化全局的 db 對(duì)象，不要新聲明一個(gè) db 變量
	db, err = sql.Open("mysql", dsn) // 只對(duì)格式進(jìn)行校驗(yàn)，并不會(huì)真正連接數(shù)據(jù)庫(kù)
	if err != nil {
		return err
	}

	// Ping 驗(yàn)證與數(shù)據(jù)庫(kù)的連接是否仍處于活動(dòng)狀態(tài)，并在必要時(shí)建立連接。
	err = db.Ping()
	if err != nil {
		fmt.Printf("connect to db failed, err: %v\n", err)
		return err
	}
	// 數(shù)值需要根據(jù)業(yè)務(wù)具體情況來(lái)確定
	db.SetConnMaxLifetime(time.Second * 10) // 設(shè)置可以重用連接的最長(zhǎng)時(shí)間
	db.SetConnMaxIdleTime(time.Second * 5)  // 設(shè)置連接可能處于空閑狀態(tài)的最長(zhǎng)時(shí)間
	db.SetMaxOpenConns(200)                 // 設(shè)置與數(shù)據(jù)庫(kù)的最大打開(kāi)連接數(shù)
	db.SetMaxIdleConns(10)                  //  設(shè)置空閑連接池中的最大連接數(shù)
	return nil
}

type user struct {
	id   int
	age  int
	name string
}

// 預(yù)處理插入
func prepareInsertDemo() {
	sqlStr := "INSERT INTO user(name, age) VALUES (?,?)"
	// 為以后的查詢(xún)或執(zhí)行創(chuàng)建預(yù)準(zhǔn)備語(yǔ)句。
	// 可以從返回的語(yǔ)句并發(fā)運(yùn)行多個(gè)查詢(xún)或執(zhí)行。
	// 當(dāng)不再需要語(yǔ)句時(shí)，調(diào)用方必須調(diào)用語(yǔ)句的 Close 方法。
	stmt, err := db.Prepare(sqlStr)
	if err != nil {
		fmt.Printf("prepare failed, err:%v\n", err)
		return
	}
	defer stmt.Close()
	_, err = stmt.Exec("昭君", 12)
	if err != nil {
		fmt.Printf("insert failed, err:%v\n", err)
		return
	}
	_, err = stmt.Exec("黛玉", 16)
	if err != nil {
		fmt.Printf("insert failed, err:%v\n", err)
		return
	}
	fmt.Println("insert success.")
}

func main() {
	if err := initMySQL(); err != nil {
		fmt.Printf("connect to db failed, err: %v\n", err)
	}
	// 檢查完錯(cuò)誤之后執(zhí)行，確保 db 不為 nil
	// Close() 用來(lái)釋放數(shù)據(jù)庫(kù)連接相關(guān)的資源
	// Close 將關(guān)閉數(shù)據(jù)庫(kù)并阻止啟動(dòng)新查詢(xún)。關(guān)閉，然后等待服務(wù)器上已開(kāi)始處理的所有查詢(xún)完成。
	defer db.Close()

	fmt.Println("connect to database success")
	// db.xx() 去使用數(shù)據(jù)庫(kù)操作...
	
	// MySQL預(yù)處理 插入數(shù)據(jù)
	prepareInsertDemo()
}

運(yùn)行

Code/go/mysql_demo via ?? v1.20.3 via ?? base 
? go run main.go
connect to database success
insert success.

Code/go/mysql_demo via ?? v1.20.3 via ?? base 
?

SQL 查詢(xún) 插入結(jié)果

mysql> select * from user;
+----+--------+------+
| id | name   | age  |
+----+--------+------+
|  1 | 小喬   |   16 |
|  2 | 小喬   |   12 |
|  5 | 昭君   |   12 |
|  6 | 黛玉   |   16 |
+----+--------+------+
4 rows in set (0.00 sec)

mysql>

三、SQL注入問(wèn)題

問(wèn)：什么是SQL注入問(wèn)題？

ChatGPT 答：

SQL注入（SQL Injection）是一種常見(jiàn)的安全漏洞，指的是攻擊者通過(guò)在應(yīng)用程序的用戶(hù)輸入中插入惡意的SQL代碼，從而利用應(yīng)用程序?qū)?shù)據(jù)庫(kù)的不當(dāng)處理，執(zhí)行未經(jīng)授權(quán)的數(shù)據(jù)庫(kù)操作。

SQL注入攻擊通常發(fā)生在使用動(dòng)態(tài)構(gòu)建SQL語(yǔ)句的應(yīng)用程序中，例如Web應(yīng)用程序。攻擊者利用應(yīng)用程序沒(méi)有正確驗(yàn)證、過(guò)濾或轉(zhuǎn)義用戶(hù)輸入的數(shù)據(jù)，將惡意的SQL代碼插入到查詢(xún)語(yǔ)句中。

攻擊者可以利用SQL注入問(wèn)題進(jìn)行各種惡意行為，包括但不限于以下情況：

繞過(guò)身份驗(yàn)證：通過(guò)注入惡意的SQL代碼，攻擊者可以繞過(guò)應(yīng)用程序的身份驗(yàn)證機(jī)制，以管理員或其他特權(quán)用戶(hù)的身份執(zhí)行操作。
數(shù)據(jù)泄露：攻擊者可以通過(guò)注入SELECT語(yǔ)句，獲取應(yīng)用程序未授權(quán)訪問(wèn)的數(shù)據(jù)，包括敏感信息（如用戶(hù)密碼、個(gè)人信息等）。
數(shù)據(jù)篡改：攻擊者可以通過(guò)注入U(xiǎn)PDATE或DELETE語(yǔ)句，修改或刪除數(shù)據(jù)庫(kù)中的數(shù)據(jù)，破壞數(shù)據(jù)完整性。
執(zhí)行任意代碼：攻擊者可以通過(guò)注入惡意的SQL代碼，執(zhí)行任意的數(shù)據(jù)庫(kù)操作或其他系統(tǒng)命令，導(dǎo)致系統(tǒng)崩潰、服務(wù)拒絕或其他安全問(wèn)題。

為了防止SQL注入攻擊，開(kāi)發(fā)人員應(yīng)該采取以下措施：

使用參數(shù)化查詢(xún)或預(yù)處理語(yǔ)句：使用參數(shù)化查詢(xún)或預(yù)處理語(yǔ)句可以將參數(shù)值與SQL語(yǔ)句分開(kāi)處理，確保輸入數(shù)據(jù)被正確轉(zhuǎn)義和處理，避免了直接拼接用戶(hù)輸入到SQL語(yǔ)句中的問(wèn)題。
輸入驗(yàn)證與過(guò)濾：對(duì)用戶(hù)輸入的數(shù)據(jù)進(jìn)行嚴(yán)格的驗(yàn)證和過(guò)濾，確保只接受符合預(yù)期的數(shù)據(jù)格式和范圍，并在必要時(shí)進(jìn)行轉(zhuǎn)義處理。
最小權(quán)限原則：應(yīng)用程序在連接數(shù)據(jù)庫(kù)時(shí)，使用具有最低權(quán)限的數(shù)據(jù)庫(kù)用戶(hù)，僅具備執(zhí)行必要操作的權(quán)限。
安全配置：確保數(shù)據(jù)庫(kù)和應(yīng)用程序的安全配置，包括禁用不必要的數(shù)據(jù)庫(kù)功能、限制網(wǎng)絡(luò)訪問(wèn)、定期更新數(shù)據(jù)庫(kù)軟件等。

通過(guò)采取這些安全措施，可以有效減輕SQL注入攻擊的風(fēng)險(xiǎn)，提升應(yīng)用程序的安全性。

注意：不要自己拼接SQL語(yǔ)句，不要相信用戶(hù)輸入的內(nèi)容是安全的、合法的。

例子

以下是一個(gè)示例，展示了一個(gè)存在SQL注入漏洞的情況，并使用Go語(yǔ)言來(lái)演示如何預(yù)防注入問(wèn)題：

import (
	"database/sql"
	"fmt"
	"log"

	_ "github.com/go-sql-driver/mysql"
)

func main() {
	db, err := sql.Open("mysql", "username:password@tcp(hostname:port)/database")
	if err != nil {
		log.Fatal(err)
	}
	defer db.Close()

	// 假設(shè)用戶(hù)輸入的參數(shù)
	username := "admin' OR 1=1 --"
	password := "123456"

	// 構(gòu)建SQL查詢(xún)語(yǔ)句
	query := fmt.Sprintf("SELECT * FROM users WHERE username = '%s' AND password = '%s'", username, password)

	// 執(zhí)行查詢(xún)
	rows, err := db.Query(query)
	if err != nil {
		log.Fatal(err)
	}
	defer rows.Close()

	// 處理查詢(xún)結(jié)果
	for rows.Next() {
		// 處理每一行數(shù)據(jù)
		var id int
		var username string
		var password string
		err := rows.Scan(&id, &username, &password)
		if err != nil {
			log.Fatal(err)
		}
		fmt.Println(id, username, password)
	}

	if err = rows.Err(); err != nil {
		log.Fatal(err)
	}
}

在上述代碼中，我們假設(shè)用戶(hù)輸入的username參數(shù)為admin' OR 1=1 --，這是一種常見(jiàn)的注入嘗試。然后，我們使用字符串插值的方式構(gòu)建了一個(gè)SQL查詢(xún)語(yǔ)句，將用戶(hù)輸入的參數(shù)直接嵌入到SQL語(yǔ)句中。

這種構(gòu)建SQL語(yǔ)句的方式存在SQL注入漏洞。攻擊者可以在username參數(shù)中插入惡意的SQL代碼，使查詢(xún)語(yǔ)句的邏輯被破壞。在本例中，1=1條件將始終為真，繞過(guò)了正常的身份驗(yàn)證。

為了防止SQL注入，我們應(yīng)該使用預(yù)處理語(yǔ)句或參數(shù)化查詢(xún)。以下是修復(fù)SQL注入漏洞的示例代碼：

import (
	"database/sql"
	"fmt"
	"log"

	_ "github.com/go-sql-driver/mysql"
)

func main() {
	db, err := sql.Open("mysql", "username:password@tcp(hostname:port)/database")
	if err != nil {
		log.Fatal(err)
	}
	defer db.Close()

	// 假設(shè)用戶(hù)輸入的參數(shù)
	username := "admin' OR 1=1 --"
	password := "123456"

	// 使用預(yù)處理語(yǔ)句
	stmt, err := db.Prepare("SELECT * FROM users WHERE username = ? AND password = ?")
	if err != nil {
		log.Fatal(err)
	}
	defer stmt.Close()

	// 執(zhí)行查詢(xún)
	rows, err := stmt.Query(username, password)
	if err != nil {
		log.Fatal(err)
	}
	defer rows.Close()

	// 處理查詢(xún)結(jié)果
	for rows.Next() {
		// 處理每一行數(shù)據(jù)
		var id int
		var username string
		var password string
		err := rows.Scan(&id, &username, &password)
		if err != nil {
			log.Fatal(err)
		}
		fmt.Println(id, username, password)
	}

	if err = rows.Err

例子二

package main

import (
	"database/sql"
	"fmt"
	"time"

	_ "github.com/go-sql-driver/mysql" // 匿名導(dǎo)入 自動(dòng)執(zhí)行 init()
)

var db *sql.DB

func initMySQL() (err error) {
	//DSN (Data Source Name)
	dsn := "root:12345678@tcp(127.0.0.1:3306)/sql_test"
	// 注意：要初始化全局的 db 對(duì)象，不要新聲明一個(gè) db 變量
	db, err = sql.Open("mysql", dsn) // 只對(duì)格式進(jìn)行校驗(yàn)，并不會(huì)真正連接數(shù)據(jù)庫(kù)
	if err != nil {
		return err
	}

	// Ping 驗(yàn)證與數(shù)據(jù)庫(kù)的連接是否仍處于活動(dòng)狀態(tài)，并在必要時(shí)建立連接。
	err = db.Ping()
	if err != nil {
		fmt.Printf("connect to db failed, err: %v\n", err)
		return err
	}
	// 數(shù)值需要根據(jù)業(yè)務(wù)具體情況來(lái)確定
	db.SetConnMaxLifetime(time.Second * 10) // 設(shè)置可以重用連接的最長(zhǎng)時(shí)間
	db.SetConnMaxIdleTime(time.Second * 5)  // 設(shè)置連接可能處于空閑狀態(tài)的最長(zhǎng)時(shí)間
	db.SetMaxOpenConns(200)                 // 設(shè)置與數(shù)據(jù)庫(kù)的最大打開(kāi)連接數(shù)
	db.SetMaxIdleConns(10)                  //  設(shè)置空閑連接池中的最大連接數(shù)
	return nil
}

type user struct {
	id   int
	age  int
	name string
}

// sql注入示例
func sqlInjectDemo(name string) {
	sqlStr := fmt.Sprintf("select id, name, age from user where name='%s'", name)
	fmt.Printf("SQL: %s\n", sqlStr)
	var u user
	err := db.QueryRow(sqlStr).Scan(&u.id, &u.name, &u.age)
	if err != nil {
		fmt.Printf("exec failed, err: %v\n", err)
		return
	}
	fmt.Printf("user: %#v\n", u)
}

func main() {
	if err := initMySQL(); err != nil {
		fmt.Printf("connect to db failed, err: %v\n", err)
	}
	// 檢查完錯(cuò)誤之后執(zhí)行，確保 db 不為 nil
	// Close() 用來(lái)釋放數(shù)據(jù)庫(kù)連接相關(guān)的資源
	// Close 將關(guān)閉數(shù)據(jù)庫(kù)并阻止啟動(dòng)新查詢(xún)。關(guān)閉，然后等待服務(wù)器上已開(kāi)始處理的所有查詢(xún)完成。
	defer db.Close()

	fmt.Println("connect to database success")
	// db.xx() 去使用數(shù)據(jù)庫(kù)操作...
	
	// SQL 注入
	//sqlInjectDemo("黛玉")
	//  select id, name, age from user where name='xxx ' or 1=1#'
	sqlInjectDemo("xxx ' or 1=1#")
}

運(yùn)行

? go run main.go
connect to database success
SQL:select id, name, age from user where name='黛玉'
user: main.user{id:6, age:16, name:"黛玉"}

Code/go/mysql_demo via ?? v1.20.3 via ?? base 
? go run main.go
connect to database success
SQL: select id, name, age from user where name='xxx ' or 1=1#'
user: main.user{id:1, age:16, name:"小喬"}

Code/go/mysql_demo via ?? v1.20.3 via ?? base 
?

四、SQL 占位符

不同的數(shù)據(jù)庫(kù)使用不同的占位符語(yǔ)法，下面是一些常見(jiàn)數(shù)據(jù)庫(kù)的占位符語(yǔ)法：

MySQL 使用問(wèn)號(hào)（?）作為占位符。

示例：

SELECT * FROM table WHERE column = ?

PostgreSQL 使用美元符號(hào)加數(shù)字（$1、$2、$3...）作為占位符。

示例：

SELECT * FROM table WHERE column = $1

SQLite 使用問(wèn)號(hào)（?）或冒號(hào)加數(shù)字（:1、:2、:3...）作為占位符。

示例：

SELECT * FROM table WHERE column = ?

或

SELECT * FROM table WHERE column = :1

Oracle 使用冒號(hào)加數(shù)字（:1、:2、:3...）作為占位符。

示例：

SELECT * FROM table WHERE column = :1

需要注意的是，占位符的語(yǔ)法可能會(huì)因不同的數(shù)據(jù)庫(kù)驅(qū)動(dòng)程序或框架而略有差異。因此，使用數(shù)據(jù)庫(kù)驅(qū)動(dòng)程序的文檔或框架的指南來(lái)確定正確的占位符語(yǔ)法是很重要的。

此外，還有一些ORM（對(duì)象關(guān)系映射）框架，如GORM、Hibernate等，它們可以在不同的數(shù)據(jù)庫(kù)中使用統(tǒng)一的語(yǔ)法和方式來(lái)表示占位符，以提供更高級(jí)的查詢(xún)功能和更好的跨數(shù)據(jù)庫(kù)兼容性。

Go語(yǔ)言提供了豐富的庫(kù)和工具，可以方便地連接MySQL數(shù)據(jù)庫(kù)。MySQL預(yù)處理是一種提高數(shù)據(jù)庫(kù)操作效率和安全性的技術(shù)，通過(guò)預(yù)處理可以避免SQL注入攻擊，并且可以重復(fù)利用已經(jīng)編譯好的語(yǔ)句，提高執(zhí)行效率。Go語(yǔ)言中的第三方庫(kù)提供了MySQL預(yù)處理的支持，使用方法與普通SQL語(yǔ)句類(lèi)似，只需要在執(zhí)行前進(jìn)行預(yù)處理即可。在實(shí)際應(yīng)用中，合理使用MySQL預(yù)處理技術(shù)，可以提高數(shù)據(jù)庫(kù)操作的效率和安全性，避免潛在的安全風(fēng)險(xiǎn)。

到此這篇關(guān)于Go 連接 MySQL之 MySQL 預(yù)處理詳解的文章就介紹到這了,更多相關(guān)Go 連接 MySQL之 MySQL 預(yù)處理內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

您可能感興趣的文章:

国产无遮挡裸体免费直播视频,久久精品国产蜜臀av,动漫在线视频一区二区,欧亚日韩一区二区三区,久艹在线免费视频,国产精品美女网站免费,正在播放 97超级视频在线观看,斗破苍穹年番在线观看免费,51最新乱码中文字幕

Go?連接?MySQL之?MySQL?預(yù)處理詳解

目錄

一、ChatGPT 關(guān)于 MySQL 預(yù)處理的回答

問(wèn)：什么是MySQL 的預(yù)處理具體執(zhí)行過(guò)程時(shí)什么

問(wèn)：Go實(shí)現(xiàn)MySQL預(yù)處理

問(wèn)：MySQL預(yù)處理適用于什么場(chǎng)景？

二、Go 實(shí)現(xiàn) MySQL 預(yù)處理

查詢(xún)

運(yùn)行

插入、更新和刪除操作的預(yù)處理基本一樣，下面是插入示例

運(yùn)行

SQL 查詢(xún) 插入結(jié)果

三、SQL注入問(wèn)題

問(wèn)：什么是SQL注入問(wèn)題？

注意：不要自己拼接SQL語(yǔ)句，不要相信用戶(hù)輸入的內(nèi)容是安全的、合法的。

例子

例子二

運(yùn)行

四、SQL 占位符

相關(guān)文章

最新評(píng)論

大家感興趣的內(nèi)容

最近更新的內(nèi)容

常用在線小工具

国产无遮挡裸体免费直播视频,久久精品国产蜜臀av,动漫在线视频一区二区,欧亚日韩一区二区三区,久艹在线 免费视频,国产精品美女网站免费,正在播放 97超级视频在线观看,斗破苍穹年番在线观看免费,51最新乱码中文字幕

Go?連接?MySQL之?MySQL?預(yù)處理詳解

目錄

一、ChatGPT 關(guān)于 MySQL 預(yù)處理 的回答

問(wèn)：什么是MySQL 的預(yù)處理 具體執(zhí)行過(guò)程時(shí)什么

問(wèn)：Go實(shí)現(xiàn)MySQL預(yù)處理

問(wèn)：MySQL預(yù)處理適用于什么場(chǎng)景？

二、Go 實(shí)現(xiàn) MySQL 預(yù)處理

查詢(xún)

運(yùn)行

插入、更新和刪除操作的預(yù)處理基本一樣，下面是插入示例

運(yùn)行

SQL 查詢(xún) 插入結(jié)果

三、SQL注入問(wèn)題

問(wèn)：什么是SQL注入問(wèn)題？

注意：不要自己拼接SQL語(yǔ)句，不要相信用戶(hù)輸入的內(nèi)容是安全的、合法的。

例子

例子二

運(yùn)行

四、SQL 占位符

相關(guān)文章

最新評(píng)論

大家感興趣的內(nèi)容

最近更新的內(nèi)容

常用在線小工具

国产无遮挡裸体免费直播视频,久久精品国产蜜臀av,动漫在线视频一区二区,欧亚日韩一区二区三区,久艹在线免费视频,国产精品美女网站免费,正在播放 97超级视频在线观看,斗破苍穹年番在线观看免费,51最新乱码中文字幕

一、ChatGPT 關(guān)于 MySQL 預(yù)處理的回答

問(wèn)：什么是MySQL 的預(yù)處理具體執(zhí)行過(guò)程時(shí)什么

問(wèn)：MySQL預(yù)處理適用于什么場(chǎng)景？

二、Go 實(shí)現(xiàn) MySQL 預(yù)處理

插入、更新和刪除操作的預(yù)處理基本一樣，下面是插入示例

三、SQL注入問(wèn)題

注意：不要自己拼接SQL語(yǔ)句，不要相信用戶(hù)輸入的內(nèi)容是安全的、合法的。

四、SQL 占位符