编辑“︁Gin数据库安全防护”︁（章节）

= Gin数据库安全防护 =  
'''Gin数据库安全防护'''是指在基于[[Gin框架]]的Web应用中，通过技术手段保护数据库免受恶意攻击或意外数据泄露的实践方法。本节将涵盖SQL注入防御、敏感数据加密、访问控制等核心安全策略，并提供可落地的代码示例与架构设计建议。

== 核心安全威胁 ==  
以下是Gin应用与数据库交互时面临的常见风险：  
* '''SQL注入'''：攻击者通过构造恶意输入篡改SQL语句逻辑  
* '''敏感数据泄露'''：未加密存储密码、身份信息等数据  
* '''过度权限'''：数据库账户拥有超出必要范围的权限  
* '''CSRF攻击'''：跨站请求伪造导致非授权数据库操作  

<mermaid>  
pie  
    title Gin数据库安全威胁分布  
    "SQL注入" : 45  
    "敏感数据泄露" : 30  
    "过度权限" : 15  
    "CSRF攻击" : 10  
</mermaid>  

== 防御策略 ==  

=== 1. SQL注入防护 ===  
使用参数化查询或ORM工具替代字符串拼接，这是最有效的防护手段。

==== 危险示例 ====  
<syntaxhighlight lang="go">  
// 错误示范：直接拼接SQL  
func unsafeQuery(c *gin.Context) {  
    username := c.Query("username")  
    db.Exec("SELECT * FROM users WHERE username = " + username) // 高危！  
}  
</syntaxhighlight>  

==== 安全方案 ====  
<syntaxhighlight lang="go">  
// 正确做法：参数化查询  
func safeQuery(c *gin.Context) {  
    username := c.Query("username")  
    db.Exec("SELECT * FROM users WHERE username = ?", username) // 使用占位符  
}  

// 使用GORM示例  
type User struct {  
    gorm.Model  
    Username string `gorm:"unique"`  
}  

func ormQuery(c *gin.Context) {  
    var user User  
    DB.Where("username = ?", c.Query("username")).First(&user)  
}  
</syntaxhighlight>  

=== 2. 数据加密 ===  
对敏感字段采用加密存储，推荐方案：  

{| class="wikitable"  
|+ 加密方案对比  
! 类型 !! 算法 !! 适用场景  
|-  
| 对称加密 | AES-256 | 需要解密的数据（如银行卡号）  
|-  
| 哈希算法 | bcrypt | 密码等无需解密的数据  
|}  

<syntaxhighlight lang="go">  
// bcrypt密码加密示例  
func hashPassword(password string) (string, error) {  
    bytes, err := bcrypt.GenerateFromPassword([]byte(password), 14)  
    return string(bytes), err  
}  

// 验证密码  
func checkPassword(password, hash string) bool {  
    err := bcrypt.CompareHashAndPassword([]byte(hash), []byte(password))  
    return err == nil  
}  
</syntaxhighlight>  

=== 3. 权限控制 ===  
遵循最小权限原则：  

<mermaid>  
graph LR  
    A[Web应用] -->|只读账户| B[(ReportDB)]  
    A -->|读写账户| C[(UserDB)]  
    A -->|管理员账户| D[(ConfigDB)]  
</mermaid>  

<syntaxhighlight lang="sql">  
-- 创建最小权限用户示例  
CREATE USER 'webapp'@'%' IDENTIFIED BY 'StrongPassword123!';  
GRANT SELECT, INSERT ON shop.products TO 'webapp'@'%';  
REVOKE DELETE, DROP ON *.* FROM 'webapp'@'%';  
</syntaxhighlight>  

== 进阶防护 ==  

=== 审计日志 ===  
记录所有数据库操作的关键信息：  
<syntaxhighlight lang="go">  
func auditLog(action string, userID uint, data interface{}) {  
    logEntry := AuditLog{  
        Action:    action,  
        UserID:    userID,  
        IP:        c.ClientIP(),  
        Data:      fmt.Sprintf("%v", data),  
        Timestamp: time.Now(),  
    }  
    DB.Create(&logEntry)  
}  
</syntaxhighlight>  

=== 连接安全 ===  
强制使用TLS连接数据库，配置示例：  
<syntaxhighlight lang="go">  
dsn := "user:pass@tcp(db.example.com:3306)/dbname?tls=true"  
db, err := gorm.Open(mysql.Open(dsn), &gorm.Config{})  
</syntaxhighlight>  

== 实战案例 ==  

'''电商系统订单处理'''需实现：  
1. 防止订单查询SQL注入  
2. 信用卡信息加密存储  
3. 限制库存修改权限  

<syntaxhighlight lang="go">  
// 订单查询安全实现  
func GetOrder(c *gin.Context) {  
    orderID := c.Param("id")  
    var order Order  
    if err := DB.Where("id = ? AND user_id = ?", orderID, getUserId(c)).First(&order).Error; err != nil {  
        c.JSON(404, gin.H{"error": "not found"})  
        return  
    }  
    // 返回脱敏数据  
    order.CreditCard = maskCard(order.CreditCard)  
    c.JSON(200, order)  
}  

// 信用卡脱敏函数  
func maskCard(card string) string {  
    if len(card) < 4 { return "****" }  
    return "****-****-****-" + card[len(card)-4:]  
}  
</syntaxhighlight>  

== 数学基础 ==  
密码学中密钥安全性的计算公式：  

<math>  
S = \frac{2^k \cdot t}{p}  
</math>  

其中：  
* <math>k</math> = 密钥位数  
* <math>t</math> = 单次尝试时间  
* <math>p</math> = 并行计算单元数  

== 总结 ==  
{| class="wikitable"  
|+ 安全防护检查清单  
! 项目 !! 是否完成  
|-  
| 所有SQL查询使用参数化 | □  
|-  
| 敏感字段加密存储 | □  
|-  
| 数据库账户权限最小化 | □  
|-  
| 启用连接加密 | □  
|-  
| 实现操作审计日志 | □  
|}  

通过组合应用上述技术，可显著提升Gin应用的数据库安全等级。建议定期进行安全审计和依赖库升级以应对新型攻击手段。

[[Category:后端框架]]
[[Category:Gin]]
[[Category:Gin与数据库集成]]