组长安排了一个任务,所有http的handler要对入参检查,防止SQL注入。刚开始笨笨的,打算为所有的结构体写一个方法,后来统计了下,要写几十上百,随着业务增加,以后还会重复这个无脑力的机械劳作。想想就low。
生产工具发展生产力,直接做一个自动检测函数不就ok了么?把结构体对象扔进去,这个函数自动检查,只要性能过得去就行,又不是什么电信级业务,比如FRR快切,要求50ms与以内。(本人之前是通信行业某国内央企的转发芯片的驱动微码出身)
先说说我的想法,然后把代码贴后面。
这里犹豫,要不要做并发?就要看需求了。
需求0:调用者传入一个结构体对象,要检查这个对象有没有变量注入脚本,没必要并发;
需求1:调用者传入多个结构体对象,要检查这些对象有没有变量注入脚本,不能明确是哪个对象的变量有误,需要并发。这种情况的话,感觉简单的SQL检查用不上,牛刀杀鸡了;
拓展0:如果想对TAG的长度做限制,没必要在const里面多定义几个限制长度的变量,直接把TAG改成TAG.len就ok了,在迭代器里面把小数点后面的长度提出来,扔到具体的检查函数里去。
拓展1:这个函数可以改装成自动映射器:工具自动生成映射代码,插入迭代器中对basic type的switch里,根据tag自动映射。省去程序员的机械编码,映射部分全自动。生产工具发展生产力!
拓展2:只要一个结构体中,对变量进行tag自定义,就可以对这个结构体的所有变量进行任意处理。生产工具发展生产力!
个人的想象力总归是有限的,读者如果有什么更烧脑,异想天开的想法,可以留言,一起分析,一起进步。如果有幸被转载,请标明出处,谢谢了老铁。
好了,贴代码吧:
定义了一个三层的结构体。
然后在main里面定义了这个结构体对象实例,在里面随意添加一些非法字符,调试测试使用。
下面是这个防SQL检查器的最外层封装。
下面的Iterator就是整个递归迭代器的核心部分了。可以看出来,我是从struct类型起始的,因为reflect包里面只有structfield有TAG。
如果想拓展,就得在这个main实验包里面实现,或者在公司内部的库包里面做。
基本把所有类型涵盖了:指针,接口,channel,数组,切片,结构体,map,baisc type
下面这个函数,函数名有自注释性。
具体的字段检查函数,我贴一个就好,意思到了就行。原理也很简单,用golang自带的map(java里是hashmap,python里的dict,之前做的芯片驱动层表项管理,也是hash)。
