7. Оценка понимания

В чем заключается главная суть уязвимости SQL Injection?

В слишком долгом выполнении запросов В том, что база данных не может обработать кириллицу В смешивании кода запроса и данных пользователя; это позволяет атакующему внедрить свои вредоносные SQL-команды прямо в тело запроса В нехватке оперативной памяти на сервере

Какой из перечисленных способов формирования SQL-запроса в Go является СМЕРТЕЛЬНО ОПАСНЫМ?

db.Query("SELECT * FROM users WHERE id = ?", id) db.Exec("UPDATE users SET name = $1", name) fmt.Sprintf("SELECT * FROM users WHERE name = '%s'", name) rows, err := db.QueryRow("SELECT 1").Scan(&res)

Почему использование `fmt.Sprintf` для формирования SQL-запроса приводит к уязвимости?

В Go запрещено использовать пакет fmt Функция Sprintf слишком медленная Она просто "склеивает" строки; SQL-парсер не различает, где ваши оригинальные команды, а где внедренный хакером код Она автоматически удаляет все кавычки из текста

Что произойдет, если хакер введет `' OR '1'='1` в поле `username`, которое подставляется через конкатенацию?

Программа вылетит с ошибкой База данных проигнорирует запрос Условие '1'='1' всегда истинно, поэтому база данных вернет ID первого пользователя (администратора) без проверки пароля Хакер получит бан по IP

Какой символ (или комбинация символов) часто используется для "обрезания" остатка оригинального SQL-запроса?

* ?? -- (два тире и пробел) — это комментарий в большинстве СУБД; база проигнорирует всё, что написано после них !#

Верно ли утверждение: "Если мой сайт не выводит SQL-ошибки на странице, это значит, что в нем нет SQL-инъекций"?

Да, ошибки — это единственный признак взлома Да, но только на ОС Windows НЕТ, существуют "слепые" инъекции (Blind SQLi), которые вообще не выводят ошибок, но позволяют вытаскивать данные по одному биту через время ответа или статус-код Нет, все SQL-инъекции всегда выводят ошибки

Какое "Золотое правило" вы узнали для обеспечения безопасности SQL в Go?

Всегда использовать только SQLite Написать 1000 строк кода на Go Разделять КОД и ДАННЫЕ с помощью параметризованных запросов (Prepared Statements); данные никогда не должны попадать в строку SQL через форматирование текста Не использовать базу данных вообще