Go言語のSQLインジェクション対策を完全解説！初心者でも安全なデータベース操作がわかる

1. SQLインジェクションとは何か

1. SQLインジェクションとは何か

SQLインジェクションとは、データベースに送る命令文に、悪意のある文字を混ぜ込む攻撃方法です。

SQLとは、データベースに「データを探す」「追加する」「消す」といったお願いをするための言葉です。

本来はプログラムが作った命令だけが送られるべきですが、入力された文字をそのまま使うと、命令の中身を書き換えられてしまいます。

2. なぜSQLインジェクションが危険なのか

2. なぜSQLインジェクションが危険なのか

SQLインジェクションが成功すると、本来見られないはずの個人情報が盗まれたり、データが消されたりします。

場合によっては、管理者しかできない操作まで実行されることもあります。

これは、鍵付きの扉だと思っていた場所に、実は裏口があったような状態です。

3. 危険な書き方の例

3. 危険な書き方の例

まずは、やってはいけない例を見てみましょう。

query := "SELECT * FROM users WHERE name = '" + name + "'"
row := db.QueryRow(query)

この書き方では、入力された文字がそのままSQL文の一部になります。

もし特別な文字が入力されると、SQLの意味が変わってしまいます。

4. プレースホルダを使った安全な書き方

4. プレースホルダを使った安全な書き方

Go言語でSQLインジェクション対策を行う基本は、プレースホルダを使うことです。

プレースホルダとは、「あとから値を入れる場所」を示す記号です。

row := db.QueryRow(
    "SELECT * FROM users WHERE name = ?",
    name,
)

この方法では、入力された文字は「データ」として扱われ、命令文として解釈されません。

そのため、SQLインジェクションを防ぐことができます。

5. なぜプレースホルダが安全なのか

5. なぜプレースホルダが安全なのか

プレースホルダを使うと、SQL文の形が先に確定します。

あとから渡す値は、ただの文字や数字として処理されます。

これは、申込用紙の決まった欄に文字を書くようなもので、文章全体を書き換えることはできません。

6. ExecやQueryでも同じ考え方

6. ExecやQueryでも同じ考え方

データを追加したり更新したりするときも、考え方は同じです。

_, err := db.Exec(
    "INSERT INTO users(name, age) VALUES(?, ?)",
    name,
    age,
)

文字を直接つなげず、必ずプレースホルダを使うことが大切です。

7. 初心者が勘違いしやすいポイント

7. 初心者が勘違いしやすいポイント

入力チェックをしているから安全だと思い込むのは危険です。

どんな文字が来ても壊れない書き方をすることが、本当の対策です。

Go言語では、標準のdatabase/sqlの使い方を守るだけで、高い安全性を確保できます。

8. SQLインジェクション対策の基本ルール

8. SQLインジェクション対策の基本ルール

SQL文とデータを文字列として結合しないことが最重要です。

必ずプレースホルダを使い、値は引数として渡しましょう。

このルールを守るだけで、Go言語のデータベース操作はぐっと安全になります。