gorm不定時更新

原創 原創 2024-05-08 23:31

1 SQL注入

1.1 WHERE 注入

我們可以使用佔位符來進行參數綁定解決。

// Where add conditions
//
// See the [docs] for details on the various formats that where clauses can take. By default, where clauses chain with AND.
//
//	// Find the first user with name jinzhu
//	db.Where("name = ?", "jinzhu").First(&user)
//	// Find the first user with name jinzhu and age 20
//	db.Where(&User{Name: "jinzhu", Age: 20}).First(&user)
//	// Find the first user with name jinzhu and age not equal to 20
//	db.Where("name = ?", "jinzhu").Where("age <> ?", "20").First(&user)
//
// [docs]: https://gorm.io/docs/query.html#Conditions
func (db *DB) Where(query interface{}, args ...interface{}) (tx *DB) {
	tx = db.getInstance()
	if conds := tx.Statement.BuildCondition(query, args...); len(conds) > 0 {
		tx.Statement.AddClause(clause.Where{Exprs: conds})
	}
	return
}

有兩種方法:一種是直接用佔位符 

tx.Where(fmt.Sprintf(" (%s = ?) ", columnName), value)

第二種是用表達式:

expr := gorm.Expr(fmt.Sprintf(" (%s = ?) ", columnName), value)
tx.Where(expr.SQL, expr.Vars)

1.2 order by SQL注入

// Order specify order when retrieving records from database
//
//	db.Order("name DESC")
//	db.Order(clause.OrderByColumn{Column: clause.Column{Name: "name"}, Desc: true})
func (db *DB) Order(value interface{}) (tx *DB) {
	tx = db.getInstance()

	switch v := value.(type) {
	case clause.OrderByColumn:
		tx.Statement.AddClause(clause.OrderBy{
			Columns: []clause.OrderByColumn{v},
		})
	case string:
		if v != "" {
			tx.Statement.AddClause(clause.OrderBy{
				Columns: []clause.OrderByColumn{{
					Column: clause.Column{Name: v, Raw: true},
				}},
			})
		}
	}
	return
}

上面是 Order 方法,可以看到它有兩種使用方式,一種是直接的字符串,也是容易SQL注入的;另一種是使用 clause.OrderByColumn 結構體:

package clause

type OrderByColumn struct {
	Column  Column
	Desc    bool
	Reorder bool
}

// Column quote with name
type Column struct {
	Table string
	Name  string
	Alias string
	Raw   bool
}

我們可以使用以下方法:

...

isRaw := strings.ContainsAny(orderByItem.Field, "=><(){},;.")
tx.Order(clause.OrderByColumn{Column: clause.Column{Name: orderByItem.Field, Raw: isRaw}, Desc: orderByItem.Direction == "desc"})
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

git 將其中一個文件恢復到之前的版本

要將Git中的一個文件恢復到之前的版本,你可以使用git checkout命令結合特定的提交哈希值(commit hash)或引用(如HEAD~1)來檢出該文件的特定版本。 以下是如何操作的步驟: 查看文件的歷史: 首先,你可以使用gi

原創 2024-05-08 12:43:22

Golang整潔架構實踐

騰小云導讀 爲了降低系統組件之間的耦合、提升系統的可維護性,一個好的代碼框架顯得尤爲重要。本文將爲大家介紹衆所周知的三種代碼框架,並從三種框架引申出COLA 架構以及作者基於 COLA 架構設計的 Go 語言項目腳手架實踐方案。希望能給

騰訊雲開發者社區 2023-03-30 11:49:59

go從gorm讀取數據庫時間字段問題

go從gorm讀取數據庫時間字段問題,莫名加了時區和T,要重寫time的方法才能轉化過來   package utils import ( "database/sql/driver" "errors" "fmt

原創 2022-04-30 14:31:03

GORM中的many2many關聯關係維護

數據模型如下: // BaseModel 基礎模型 type BaseModel struct { ID string `gorm:"primaryKey;size:36;"` CreatedAt time.Ti

原創 2022-04-30 09:23:12

Gorm Update 返回的影響條數不正確問題

Gorm 連接 mysql 使用的是 github.com/go-sql-driver/mysql 驅動, 但是這個驅動中 clientFoundRows 默認是 false, 也就是說返回的影響條數是實際的影響條數, 而不是匹配的條數,

原創 2021-12-25 21:47:43

Gorm的many2many

學習和使用GORM已經有了一段時間,記錄一下關於many2many的關聯創建。 先看一下結構定義: type Student struct { gorm.Model Code string `gorm:"index;un

原創 2021-12-25 21:22:13

GORM多對多的關係維護

官網的文檔:https://gorm.io/zh_CN/docs/associations.html 需求:角色和資源,兩個表數據單獨維護,然後做數據關聯。二者是多對多的關係,兩個主鍵均爲ID(string類型,值爲uuid)。 如果按照官

原創 2021-12-25 21:22:13

go jinzhu/gorm. 到 gorm.io。 go-gorm

go-gorm  是 jinzhu的grom 第二版本 之前沒注意第一版本只更新到1.9。 現在的第二版 已經到1.21了 文檔 https://gorm.io/zh_CN/docs/create.html 升級遇到問題 問題: cann

原創 2021-12-25 21:09:43

Mysql版本差異導致groupBy+orderBy結果不一致的問題

發現個問題。 Mysql版本導致orderBy + groupBy之後的結果不一致 在Mysql5.6版本和5.7版本穩定復現。 舉個栗子🌰: tests表中數據如下 想查找每個relate_id下created_at最大的數據(即查詢i

文文1 2023-10-12 13:36:02

OpenSCAD:幾何對象與修剪擴展庫

OpenSCAD Libraries General · BOSL · BOSL2 · dotSCAD · NopSCADlib · UB.scad · Functional OpenSCAD · BOLTS Single T

openthings 2022-04-30 06:42:21

MySQL join 學習

1. 數學基礎:笛卡爾乘積 笛卡爾乘積是一個數學概念: 笛卡爾乘積是指在數學中,兩個集合 X 和 Y 的笛卡爾積(Cartesian product),又稱直積,表示爲 X × Y,第一個對象是 X 的成員而第二個對象是 Y 的所有可能有

php開源社區 2021-10-18 21:28:18

What really happens in a try { return x; } finally { x = null; } statement?

問題: I saw this tip in another question and was wondering if someone could explain to me how on earth this works? 我在另一個

javail 2021-10-11 21:16:01

SELECT * FROM X WHERE id IN (...) with Dapper ORM

問題: What is the best way to write a query with IN clause using Dapper ORM when the list of values for the IN clause is

fyin1314 2021-10-10 21:20:07

兩個實用的SQL高級函數

SQL Server從2012版本開始,引入了LEAD和LAG函數,這兩個函數可以把之前要關聯查詢的方法,改爲可直接獲取當前數據上下相鄰多少行數據,可以很方便的對上下相鄰兩行的數據進行加減乘除。今天我們就給大家介紹一下這兩個函數的用法。

php開源社區 2021-10-09 21:27:50

百川倉配切量接口成長史

背景 百川專項是指物流統一打造企業級能力平臺,戰略上聚焦純配、倉配類業務主線,以提升前臺業務整體交付吞吐率爲核心目標,支撐物流開放領域解決方案和標準產品的快速交付實施。計劃以“百川”專項項目爲契機,加速推動BP團隊將ECLP中各自業務的單

原創 2024-03-28 00:34:45