在Golang服务中，如何防止SQL注入和XSS攻击？请说明代码层面的防护措施和中间件配置。

1) 【一句话结论】在Golang服务中，防止SQL注入需通过参数化查询（预编译语句）处理数据库操作，避免恶意SQL注入；防止XSS需通过中间件对用户输入进行转义或过滤，并在输出时对HTML内容进行安全转义，结合输入验证和输出编码实现多层防护。

2) 【原理/概念讲解】SQL注入是指攻击者通过在输入中注入恶意SQL语句，操控数据库查询。Golang中，使用database/sql包的Prepare或Exec方法时，将参数作为占位符（如?）传递，数据库驱动会自动处理参数的转义和类型转换，避免恶意SQL执行。类比：就像给数据库查询的参数加“锁”，恶意代码无法篡改查询逻辑。XSS是指攻击者通过在网页输入中注入恶意脚本，在用户浏览时执行。Golang中，对用户输入的HTML内容（如用户评论、表单数据）使用html.EscapeString等函数进行转义，将特殊字符（如<、>）转换为实体（如<、>），防止浏览器解析为脚本。类比：就像给输出的HTML内容做“消毒”，阻止恶意脚本执行。

3) 【对比与适用场景】

防护类型	定义	核心措施	适用场景	注意点
SQL注入防护	防止恶意SQL语句注入数据库，篡改查询逻辑	参数化查询（预编译语句，如db.Prepare+db.Exec/db.Query，参数用占位符）	任何涉及数据库操作的业务逻辑（如用户登录、数据查询、更新）	必须严格使用参数化，避免字符串拼接；预编译语句需复用（避免重复编译）
XSS防护	防止恶意脚本注入网页，在用户端执行	输入验证（过滤或转义用户输入）+ 输出转义（对HTML内容转义）+ 中间件过滤（如github.com/justinas/nosurf或自定义中间件）	任何涉及用户输入输出的页面（如用户评论、个人主页、表单提交结果）	输入验证需全面（包括非HTML字符、脚本标签）；输出转义需针对上下文（如HTML、JSON、文本）

4) 【示例】

• SQL注入防护示例（伪代码）：

  // 假设db是*sql.DB
  stmt, err := db.Prepare("SELECT * FROM users WHERE id = ? AND role = ?")
  if err != nil { return err }
  defer stmt.Close()
  
  // 用户输入参数
  userId := 123
  userRole := "admin"
  rows, err := stmt.Query(userId, userRole)
  if err != nil { return err }
  // 处理结果
  

  这里，即使用户输入123 OR 1=1，数据库也会正确解析为参数，不会执行恶意SQL。

• XSS防护示例（伪代码）：

  userComment := "用户输入的评论，比如包含<script>alert('xss')</script>"
  // 输入验证（可选，过滤脚本标签）
  cleanedComment := strings.ReplaceAll(userComment, "<script>", "")
  // 输出转义（HTML上下文）
  escapedComment := html.EscapeString(cleanedComment)
  // 渲染到页面
  fmt.Fprintf(w, "<div>%s</div>", escapedComment)
  

5) 【面试口播版答案】
“在Golang服务中，防止SQL注入的核心是使用参数化查询（预编译语句），比如通过database/sql包的Prepare方法创建预编译语句，将用户输入作为参数传递，避免字符串拼接导致的SQL注入。对于XSS攻击，则需要通过中间件对用户输入进行转义或过滤，比如在处理用户评论等HTML内容时，使用html.EscapeString函数将特殊字符转换为实体，防止浏览器解析为脚本。具体来说，数据库操作时，所有SQL语句都应使用占位符（如?），参数单独传递；网页输出时，用户输入的HTML内容必须经过转义，比如用户评论显示时，用html.EscapeString处理，确保恶意脚本无法执行。中间件配置上，可以集成nosurf等库，在请求头中添加抗CSRF的token，同时结合输入验证和输出编码，形成多层防护。”

6) 【追问清单】

• 问：参数化查询具体如何实现？比如预编译语句的复用和错误处理？
  答：预编译语句通过db.Prepare创建，复用后用db.Exec或db.Query执行，参数用占位符传递，避免拼接；错误处理需检查Prepare和执行时的错误，确保异常情况能正确处理。
• 问：XSS防护中，除了转义，还有哪些方法？比如输入过滤？
  答：输入过滤可以过滤掉脚本标签、事件属性等，但更推荐转义，因为过滤可能漏掉特殊字符；同时结合输入验证（如正则匹配合法字符），输出转义是关键。
• 问：如何处理数据库中的SQL注入？比如如果参数是用户输入的字符串，是否需要额外处理？
  答：参数化查询会自动处理字符串的转义，比如单引号会被转义为两个单引号，避免破坏SQL语法；但需确保参数类型正确（如字符串用字符串占位符，整数用整数占位符）。

7) 【常见坑/雷区】

• SQL注入防护：用字符串拼接代替参数化（如db.Exec("SELECT * FROM users WHERE id = " + userId)），导致恶意SQL注入。
• XSS防护：只过滤部分字符（如只过滤<和>），漏掉其他脚本注入方式（如<script src="http://evil.com"></script>）；或输出转义时上下文错误（如JSON输出时转义HTML，导致JSON解析错误）。
• 中间件配置：忽略中间件的作用，比如没有在关键请求（如登录、数据更新）中启用XSS或CSRF防护，导致攻击。
• 参数化查询：预编译语句未复用（如每次查询都重新Prepare），导致性能问题；或参数类型错误（如将字符串参数传给整数占位符），导致数据库错误。
• 输入验证：只做表面验证（如检查非空），未过滤恶意字符，导致XSS或SQL注入。