1.2.1【必须】SQL语句默认使用预编译并绑定变量

    • 使用的prepare、Query或使用GORM等ORM执行SQL操作
    • 使用参数化查询,禁止拼接SQL语句,另外对于传入参数用于order by或表名的需要通过校验
    1. // bad
    2.   import (
    3.       "database/sql"
    4.       "net/http"
    7.   func handler(db *sql.DB, req *http.Request) {
    8.       q := fmt.Sprintf("SELECT ITEM,PRICE FROM PRODUCT WHERE ITEM_CATEGORY='%s' ORDER BY PRICE",
    9.           req.URL.Query()["category"])
    12. // good
    13. func handlerGood(db *sql.DB, req *http.Request) {
    14.     //使用?占位符
    15.       q := "SELECT ITEM,PRICE FROM PRODUCT WHERE ITEM_CATEGORY='?' ORDER BY PRICE"
    16. }