package main
import ( “database/sql” “fmt” _ “github.com/lib/pq” // 引入 PostgreSQL 驱动)
func main() { // 连接数据库 db, err := sql.Open(“postgres”, “user=postgres password=yourpassword dbname=testdb sslmode=disable”) if err != nil { panic(err) } defer db.Close()
 var username string var password string
 // 使用参数化查询，避免 SQL 注入 err = db.QueryRow(“SELECT password FROM users WHERE username=\(1"</span>, <span class="code-snippet__string">"example_user"</span>).Scan(&amp;password)</span></code><code><span class="code-snippet_outer"> <span class="code-snippet__keyword">if</span> err != <span class="code-snippet__literal">nil</span> {</span></code><code><span class="code-snippet_outer"> fmt.Println(<span class="code-snippet__string">"Error:"</span>, err)</span></code><code><span class="code-snippet_outer"> } <span class="code-snippet__keyword">else</span> {</span></code><code><span class="code-snippet_outer"> fmt.Println(<span class="code-snippet__string">"Password for user:"</span>, username, <span class="code-snippet__string">"is"</span>, password)</span></code><code><span class="code-snippet_outer"> }</span></code><code><span class="code-snippet_outer">}</span></code></pre></section><p cid="n68" mdtype="paragraph" style="text-align: left;margin-bottom: 0px;"><span style="font-size: 16px;"><br />这里用到的 db.QueryRow("SELECT password FROM users WHERE username=\)1”, “example_user”) 就是参数化查询的例子。
这个 $1 是个占位符，SQL 语句并不会直接把用户输入拼接到查询字符串里，而是先准备好 SQL 语句，然后把用户输入的数据作为参数传进去。这么做的好处是，即使用户输入了恶意的 SQL 代码，也无法直接执行。

二、CSRF 攻击：别让用户被人“借刀杀人”

CSRF 攻击就像有人偷偷摸摸的替你“签字画押”，明明是你没想干的事，但在你不知不觉中，攻击者利用你已有的身份认证发起了恶意请求。这种攻击手法不复杂，但足够阴险。

防范 CSRF 最常用的手段就是引入 CSRF Token，每次用户提交表单或者进行敏感操作时，都需要验证这个 Token。只有服务器端生成并且验证通过的 Token 才能继续执行后续操作。Go 语言中，常用的 gorilla/csrf 包可以帮我们轻松搞定这个问题。

来看代码：
讯享网 
    
 
     
 
      
 
      
 
      
 
      
 
      
 
      
 
      
 
      
 
      
 
      
 
      
 
      
 
      
 
      
 
      
 
      
 
      
 
      
 
      
 
      
 
      
 
      
 
      
 
      
 
      
 
     
 
     
讯享网package main
import ( “fmt” “net/http” “github.com/gorilla/csrf” “github.com/gorilla/mux”)
func main() { // 使用一个 32 字节的密钥创建 CSRF 保护 csrfMiddleware := csrf.Protect([]byte(“32-byte-long-auth-key”))
 r := mux.NewRouter() r.HandleFunc(”/submit”, func(w http.ResponseWriter, r *http.Request) { // 嵌入 CSRF token 到表单 fmt.Fprintf(w, &lt;form action=<span class="code-snippet__string">"/submit"</span> method=<span class="code-snippet__string">"POST"</span>&gt;</span></code><code><span class="code-snippet_outer"> &lt;input type=<span class="code-snippet__string">"hidden"</span> name=<span class="code-snippet__string">"csrf_token"</span> value=<span class="code-snippet__string">"%s"</span>&gt;</span></code><code><span class="code-snippet_outer"> &lt;input type=<span class="code-snippet__string">"submit"</span> value=<span class="code-snippet__string">"Submit form"</span>&gt;</span></code><code><span class="code-snippet_outer"> &lt;/form&gt;, csrf.Token®) })
 // 使用 CSRF 中间件保护路由 http.ListenAndServe(”:8000”, csrfMiddleware®)}
 
    
这里 csrf.Protect([]byte(“32-byte-long-auth-key”)) 是关键，它会生成一个唯一的 Token，用户每次发出请求时，服务器都会验证这个 Token 是否匹配。就好比进门都要刷门禁卡，不带卡的谁也别想进来。这种机制特别适合防止恶意请求带来的攻击。

三、XSS 攻击：小心别被用户“发”代码

XSS 攻击常常被忽视，但一旦中招，后果可能比 SQL 注入还严重。因为这类攻击主要是通过在网页中插入恶意的 JavaScript，导致用户的数据泄露，甚至是整个系统被攻陷。XSS 就像是在你饭里偷偷加了点“料”，而你吃完后才发现问题。

在 Go 语言中，最简单有效的防护手段是使用 html/template 包。这个包会自动对用户输入的数据进行 HTML 转义，确保恶意代码不会直接执行。看下面这个例子： 
    
 
     
 
      
 
      
 
      
 
      
 
      
 
      
 
      
 
      
 
      
 
      
 
      
 
      
 
      
 
      
 
      
 
      
 
      
 
      
 
      
 
      
 
      
 
      
 
      
 
      
 
      
 
      
 
      
 
      
 
     
 
     
package main
import ( “html/template” “net/http”)
func handler(w http.ResponseWriter, r *http.Request) { tmpl := template.Must(template.New(“example”).Parse(</span></span></code><code><span class="code-snippet_outer"> &lt;html&gt;</span></code><code><span class="code-snippet_outer"> &lt;body&gt;</span></code><code><span class="code-snippet_outer"> &lt;h1&gt;Hello, {{ .Name }}&lt;/h1&gt;</span></code><code><span class="code-snippet_outer"> &lt;/body&gt;</span></code><code><span class="code-snippet_outer"><span class="code-snippet_outer"> &lt;/html&gt;))  data := struct { Name string }{ Name: r.FormValue(“name”), // 从用户输入获取 name 参数 }
 tmpl.Execute(w, data) // 自动对输出进行转义}
func main() { http.HandleFunc(”/”, handler) http.ListenAndServe(”:8080”, nil)}
 
    
在这个例子中，html/template 会自动对 {{ .Name }} 中的用户输入进行转义。比如用户输入了 &lt;script&gt;alert(‘XSS!’)&lt;/script&gt;，模板引擎会把它转义为 &lt;script&gt;alert(‘XSS!’)&lt;/script&gt;，这样一来，用户的恶意脚本就不会在浏览器中执行。

这就像是给你提供了一把“过滤器”，让你在处理用户输入的时候自动把那些可能造成问题的代码都清理干净。

结语

作为开发者，我们不仅要写出能跑的代码，还得保证代码跑得安全。SQL 注入、CSRF 和 XSS 都是最常见的 Web 攻击手段，如果忽略它们，轻则网站被搞瘫，重则数据泄露，损失惨重。
Go 语言虽然是个强大的后端语言，但它本身并不会神奇地帮你自动规避这些安全问题。这就需要我们时刻警惕，运用合适的工具和机制，才能确保我们的应用固若金汤。

当然了，写代码就是和 bug、漏洞斗智斗勇的过程，大家可别偷懒，赶紧把这些防护手段用起来吧！ 
    
 
     
 
      
 
       目前，对编程、职场感兴趣的同学，大家可以联系我微信：golang404，拉你进入“程序员交流群”。 
      
 
     
 
    
🔥虎哥私藏精品 热门推荐🔥虎哥作为一名老码农，整理了全网最全《GO后端开发资料合集》。资料包含了《IDEA视频教程》、《最全GO面试题库》、《最全项目实战源码及视频》及《毕业设计系统源码》，总量高达650GB。全部免费领取！全面满足各个阶段程序员的学习需求！