安全

SQL 注入

GORM 默认使用 database/sql 的参数占位符来构建 SQL，这可以自动防止 SQL 注入。

// 安全
db.Where("name = ?", "jinzhu").First(&user)

// 危险！不要这样拼接字符串
db.Where("name = " + userInput).First(&user)

HTML 转义

GORM 不会自动转义 HTML 内容，你需要自己在应用层处理。

权限控制

请参考模型定义中的 <-, ->, - 标签来控制字段级别的读写权限。