Gormにおける「仕様通り」なSQLインジェクションの恐れのある実装についての注意喚起 - ANDPAD Tech Blog

ANDPADボードチームの原田(tomtwinkle)です。 Node.jsの mysqljs/mysql の仕様に起因するSQLインジェクションが話題に上がっていたので、それGolangのORMであるGormでも同じような「仕様」があるよ！ という注意喚起の意味も込めて筆を執りました。 ※ 2022/02/21追記 コードレビューを自動化して指摘してもらう記事を公開しました！ tech.andpad.co.jp Node.jsのMySQLパッケージにおけるエスケープ処理だけでは防げない「隠れた」SQLインジェクション | 株式会社Flatt Security TL;DR GormのQuery Conditions関数に関する危険な仕様 対策 締め TL;DR GormのConditions関数(Find, First, Delete...)を使用する際、第2引数の値にStringを引き渡

[tomtwinkle]

書きました

[versatile]

gorm がどれくらい使われてるのか・・・。go 使う人々はフレームワークは使わないで go の提供する機能だけ使うのが譲れない鉄則らしいので・・・

[ockeghem]

ORMだと結構あるのよね

[dozo]

昔から1=1が気持ち悪すぎてORMが嫌いだった

[nekopunch222]

Chromeと紛らわしいのが脆弱性、

[toritori0318]

ええー

[ydah]

これはこわい

[aox]

Faxとバインダーで良いのでは

[maruware]

こういう複雑なことをよしなにやる系はあってもいいんだけど複雑な名前しておいてほしい

[razokulover]

多機能ゆえの罠、他にも色々ありそう

[d6rkaiz]

ORMのドキュメントはよく読まないと（自戒を込めて）

[flont]

log4jに似てるな。開発者の一般常識に著しく反する仕様を安全なAPIと同じインタフェースで提供するのは事故の元

[ikeikeikeike]

ukeru..

[strawberryhunter]

ほかにもDELETEやUPDATEのWHERE句が丸ごと消えるとか愉快な機能があるらしい。

[mattn]

こりゃ怖いな。

[UhoNiceGuy]

気を効かせて、いろいろ便宜をはからってくれるの、人間同士でもいろいろトラブルになるよね。気が利かないくらいが丁度いい

[turanukimaru]

あーこれサブクエリとかで使う奴かな。 where users.id in ( select user_id from...)　みたいな。私としては最近流行りの、カラムを指定しなかったら id のキーとして扱うって設計の方の問題だと思う。id は明示的に指定する習慣を。

[slash_01]

怖い

[rryu]

メソッドの引数の型で機能をオーバーロードしているから、渡す型によって思っていたのと違う機能が実行されてしまうやつか。これは設計が悪いとしか…

[forest1040]

GORMは使わないようにしなきゃ。。

[zentarou]

entはいいぞ

[asuka0801]

GORMがヤバいのは前々から言われているけどもだからと言って標準のdatabase/sql 使えってのは辛いしentはentで生SQL書きたくなった時に困るのでdatabase/sql のコードを生成してくれるsqlc辺りが正解な気がしている。

[saikyo_tongaricorn]

Gormって割と高い頻度で爆弾みつかるな

[nmcli]

"structのFieldにzero値を設定するとWhere Statementが生成されないなど危険な挙動を行うGormですが公式見解では仕様通り" ドキュメントちゃんと見ないとあぶねーなこれ

[sasasin_net]

とてもこわい