1.在使用 fmt.Sprintf 构建 SQL 插入语句时,参数包含特殊符号(如引号 '、分号 ;、反斜杠 \ 等),可能会导致 SQL 注入或插入失败的问题。为了解决这个问题,推荐使用占位符(如 $1, $2, 等)和参数化查询来防止 SQL 注入并正确处理特殊符号。
eg:
tbTacticsInsert := `INSERT INTO tactics(ctime, plat, tactics, tname, detail) VALUES(NOW(), $1, $2, $3, $4) ON CONFLICT DO NOTHING;` // 使用参数化查询,避免特殊符号引起的问题 func InsertTactics(pgHandle *pgx.Conn, params Params) error { // 使用 pgx.Exec 方法执行参数化查询 _, err := pgHandle.Exec(context.Background(), tbTacticsInsert, params.Plat, params.Tactics, params.Tname, params.Detail) return err }
本站资源均来自互联网,仅供研究学习,禁止违法使用和商用,产生法律纠纷本站概不负责!如果侵犯了您的权益请与我们联系!
转载请注明出处: 免费源码网-免费的源码资源网站 » golang 数据库使用注意事项
发表评论 取消回复