我正在使用选择查询使用以下代码从我的表中获取一些行。func (f *UserFilter) ListAllUsers(srch string) (cnt int64, l []*ListResp, err error) { o := orm.NewOrm() var args []interface{} var w string q := `SELECT * FROM users WHERE 1 = 1` if srch != "" { q += ` AND (LOWER(first_name) LIKE %?% OR LOWER(last_name) LIKE %?% OR id = ?)` args = append(args, srch, srch, srch) } _, err = o.Raw(q, args).QueryRows(&l) return}虽然我使用准备好的语句来绑定值,但它们没有正确转义字段first_name和last_name. 例如,如果值为srchTes't,它将中断查询。有什么方法可以转义这些值,以便在使用 MySql 驱动程序时防止 SQL 注入?任何帮助深表感谢。提前致谢。
1 回答
呼唤远方
TA贡献1856条经验 获得超11个赞
%通配符应该在字符串之内,而不是在字符串之外,即... LIKE %'foo'% ...无效,... LIKE '%foo%' ...有效。更多关于LIKE。
func (f *UserFilter) ListAllUsers(srch string) (cnt int64, l []*ListResp, err error) {
o := orm.NewOrm()
var args []interface{}
var w string
q := `SELECT * FROM users WHERE 1 = 1`
if srch != "" {
q += ` AND (LOWER(first_name) LIKE ? OR LOWER(last_name) LIKE ? OR id = ?)`
args = append(args, "%"+srch+"%", "%"+srch+"%", srch)
}
_, err = o.Raw(q, args...).QueryRows(&l)
return
}
或使用mysql的CONCAT:
func (f *UserFilter) ListAllUsers(srch string) (cnt int64, l []*ListResp, err error) {
o := orm.NewOrm()
var args []interface{}
var w string
q := `SELECT * FROM users WHERE 1 = 1`
if srch != "" {
q += ` AND (LOWER(first_name) LIKE CONCAT('%', ?, '%') OR LOWER(last_name) LIKE CONCAT('%', ?, '%') OR id = ?)`
args = append(args, srch, srch, srch)
}
_, err = o.Raw(q, args...).QueryRows(&l)
return
}
- 1 回答
- 0 关注
- 221 浏览
添加回答
举报
0/150
提交
取消