golang如何避免sql注入

在Go语言中，可使用参数化查询或预编译语句来避免SQL注入。
1. 参数化查询：使用占位符来代替实际的参数值，然后将参数值作为参数传递给查询语句。这样可以确保参数值被正确地转义，从而避免SQL注入。
示例代码：
```go
stmt, err := db.Prepare("SELECT * FROM users WHERE username = ? AND password = ?")
if err != nil {
log.Fatal(err)
}
defer stmt.Close()
rows, err := stmt.Query(username, password)
if err != nil {
log.Fatal(err)
}
defer rows.Close()
// 处理查询结果
```
2. 预编译语句：将SQL查询语句预先编译，并将参数值作为参数传递给预编译语句。预编译语句会自动处理参数值的转义，从而避免SQL注入。
示例代码：
```go
stmt, err := db.Prepare("SELECT * FROM users WHERE username = ? AND password = ?")
if err != nil {
log.Fatal(err)
}
defer stmt.Close()
rows, err := stmt.Query(username, password)
if err != nil {
log.Fatal(err)
}
defer rows.Close()
// 处理查询结果
```
不管使用参数化查询或预编译语句，都可以避免SQL注入攻击。但需要注意的是，使用预编译语句可能会带来一些额外的性能开消，因此在性能要求较高的场景下，可使用参数化查询来取得更好的性能。