Go言語のSQLインジェクション対策を完全解説!初心者でも安全なデータベース操作がわかる
生徒
「Go言語でデータベースを使うとき、セキュリティが危ないって聞いたんですが、本当ですか?」
先生
「入力された文字の扱い方を間違えると、データを盗まれたり消されたりする危険があります。」
生徒
「文字を入力するだけで、そんなことが起きるんですか?」
先生
「はい。その代表的な攻撃がSQLインジェクションです。仕組みから順番に見ていきましょう。」
1. SQLインジェクションとは何か
SQLインジェクションとは、データベースに送る命令文に、悪意のある文字を混ぜ込む攻撃方法です。
SQLとは、データベースに「データを探す」「追加する」「消す」といったお願いをするための言葉です。
本来はプログラムが作った命令だけが送られるべきですが、入力された文字をそのまま使うと、命令の中身を書き換えられてしまいます。
2. なぜSQLインジェクションが危険なのか
SQLインジェクションが成功すると、本来見られないはずの個人情報が盗まれたり、データが消されたりします。
場合によっては、管理者しかできない操作まで実行されることもあります。
これは、鍵付きの扉だと思っていた場所に、実は裏口があったような状態です。
3. 危険な書き方の例
まずは、やってはいけない例を見てみましょう。
query := "SELECT * FROM users WHERE name = '" + name + "'"
row := db.QueryRow(query)
この書き方では、入力された文字がそのままSQL文の一部になります。
もし特別な文字が入力されると、SQLの意味が変わってしまいます。
4. プレースホルダを使った安全な書き方
Go言語でSQLインジェクション対策を行う基本は、プレースホルダを使うことです。
プレースホルダとは、「あとから値を入れる場所」を示す記号です。
row := db.QueryRow(
"SELECT * FROM users WHERE name = ?",
name,
)
この方法では、入力された文字は「データ」として扱われ、命令文として解釈されません。
そのため、SQLインジェクションを防ぐことができます。
5. なぜプレースホルダが安全なのか
プレースホルダを使うと、SQL文の形が先に確定します。
あとから渡す値は、ただの文字や数字として処理されます。
これは、申込用紙の決まった欄に文字を書くようなもので、文章全体を書き換えることはできません。
6. ExecやQueryでも同じ考え方
データを追加したり更新したりするときも、考え方は同じです。
_, err := db.Exec(
"INSERT INTO users(name, age) VALUES(?, ?)",
name,
age,
)
文字を直接つなげず、必ずプレースホルダを使うことが大切です。
7. 初心者が勘違いしやすいポイント
入力チェックをしているから安全だと思い込むのは危険です。
どんな文字が来ても壊れない書き方をすることが、本当の対策です。
Go言語では、標準のdatabase/sqlの使い方を守るだけで、高い安全性を確保できます。
8. SQLインジェクション対策の基本ルール
SQL文とデータを文字列として結合しないことが最重要です。
必ずプレースホルダを使い、値は引数として渡しましょう。
このルールを守るだけで、Go言語のデータベース操作はぐっと安全になります。
