http://www.plhwin.com/2014/06/13/web-security-sql/
https://github.com/astaxie/build-web-application-with-golang/blob/master/zh/09.4.md
http://blog.csdn.net/btbdylq/article/details/7005013
http://my.oschina.net/u/1447974/blog/405385 不错
1、什么是sql注入(SQL Injection)?
是web开发中一种常见的安全漏洞,可以用它来从数据库获取敏感信息,或者利用数据库的特性执行添加用户、导出文件等操作,甚至有可能获取数据库乃至系统用户的最高权限。
2、造成sql注入的原因。
因为程序没有有效地过滤用户的输入,使攻击者成功地向服务器提交恶意的sql查询代码,程序在接收后错误地将攻击者的输入作为查询语句的一一部分执行,导致原始的查询逻辑被改变,额外地执行了攻击者精心构造的恶意sql代码。
3、如何防SQL注入攻击
1、关闭生产环境中Webserver的错误显示;
2、永远不要相信用户的变量输入,有固定格式的变量一定要严格检查对应的格式,没有固定格式的变量需要对引号等特殊符号进行必要的过滤转义。以PHP为例:采用addslashes函数过滤转义;
3、使用预编译绑定变量的sql语句;
4、严格加密处理用户的机密信息;