Golang防止SQL注入的预处理方法

防止SQL注入的关键在于正确使用预处理语句。1. 始终使用占位符（如?或$1等）进行参数化查询，确保用户输入被自动转义而非当作SQL执行；2. 避免手动拼接SQL字符串，即使动态构建查询也应使用参数化方式并维护条件与参数的分离；3. 慎用ORM中的原始SQL，确保其内部仍采用参数化查询而非字符串拼接，以防止引入安全漏洞。坚持这些做法能有效防御SQL注入攻击。

防止SQL注入的关键在于正确使用预处理语句（Prepared Statements），Golang中通过database/sql包天然支持这一点。只要用对方法，就能有效避免用户输入被当作SQL代码执行的问题。

使用占位符进行参数化查询

在Go中执行SQL语句时，应始终使用?或数据库特定的命名占位符（如PostgreSQL使用$1, $2等）来代替直接拼接字符串。例如：

stmt, err := db.Prepare("SELECT * FROM users WHERE id = ?")
rows, err := stmt.Query(1)

这样可以确保传入的参数会被自动转义，而不会被当作SQL命令执行。这是最基础也是最有效的防护手段。

常见错误是这样写的：

query := fmt.Sprintf("SELECT * FROM users WHERE name = '%s'", name)

这种方式极易受到攻击，一旦name变量未正确过滤，就可能执行恶意SQL语句。

避免手动拼接SQL语句

有些人为了方便会拼接SQL字符串，比如动态条件查询。但即使这样，也应尽量使用参数化的方式构建语句。例如：

• 构建带多个条件的查询时，可以用一个切片保存参数，动态拼接WHERE子句部分，但值始终用占位符表示。
• 如果必须拼接字段名或表名，要特别小心，最好使用白名单机制限制可选字段。

举个例子：

var args []interface{}
var conditions []string

if name != "" {
    conditions = append(conditions, "name = ?")
    args = append(args, name)
}
if age > 0 {
    conditions = append(conditions, "age = ?")
    args = append(args, age)
}

query := "SELECT * FROM users"
if len(conditions) > 0 {
    query += " WHERE " + strings.Join(conditions, " AND ")
}

rows, err := db.Query(query, args...)

这种写法虽然灵活，但依然保持了参数化查询的安全性。

ORM也不能完全依赖

很多开发者使用ORM（如GORM）来简化数据库操作，认为这样就不用操心SQL注入问题。其实大多数情况下是对的，但如果你在ORM中混用了原始SQL字符串或者自定义查询逻辑，还是有可能引入风险。

比如下面这种写法就很危险：

db.Where("name = " + name, ...).Find(&user)

正确的做法应该是：

db.Where("name = ?", name).Find(&user)

也就是说，即便是用ORM，也要确保内部使用的仍然是参数化查询，而不是拼接字符串。

基本上就这些。只要坚持使用预处理语句、不拼接用户输入、谨慎使用ORM中的原生SQL，就能有效防止SQL注入。安全是个细节活，稍有不慎就可能埋下隐患。