无恒实验室联合GORM推出安全好用的ORM框架-GEN，赶紧收藏起来

由字节跳动无恒实验室与 GORM 作者（https://github.com/jinzhu)联合研发的开源工具 GEN 你值得一试！

什么是 GEN

---

GEN 是一个基于 GORM 的安全 ORM 框架，其主要通过代码生成方式实现 GORM 代码封装。旨在安全上避免业务代码出现 SQL 注入，同时给研发带来最佳用户体验。

GEN 来告诉你，什么叫最佳用户体验：

• ⚡️ 自动同步库表，省去繁琐复制

• 🔗 代码一键生成，专注业务逻辑

• 🐞 字段类型安全，执行 SQL 也安全

• 😉 查询优雅返回，完美兼容 GORM

GEN 提供了自动同步数据表结构体到 GORM 模型，使用非常简单，即使数据库字段信息改变，可以一键同步，数据库查询相关代码可以一键生成，CRUD 只需要调用对应的方法，开发体验飞起。GEN 采用了类型安全限制，所有参数都做了安全限制，完全不用担心存在注入；最重要的是自定义 SQL 只需要通过模板注释到 interface 的方法上，自动帮助你生成安全的代码，是的，自定义 SQL 也不会出现 SQL 注入问题，而且工具完美兼容 GORM！

让我们看下直接使用 GORM 与 GEN 工具的对比

| 直接使用 GORM | 使用 GEN |

| — | — |

| 需手动创建与数据表各列一一对应的结构体 | 指定表名后自动读取并生成对应结构体 |

| 需手动实现具体的 go 代码查询逻辑 | 描述 SQL 查询逻辑即可，工具自动转换成安全稳定的代码 |

| 查询接口十分灵活，但不能保持查询的 SQL 不发生语法错误，只能通过测试保证部分场景的正常运行 | 查询接口使用类型安全，编译可通过，查询逻辑即是正常合理的 |

| 需人工评经验保证业务不存在安全问题，一旦出错往往在上线前才能发现，影响上线流程 | 提供的安全可靠的查询 API，开发时能用的就是安全的 |

GORM 和 GEN 查询对比案例

//GORM 需要先定义类型

var user model.User

err:=db.Where(“id=?”,5).Take(&user).Error

//GEN 可以直接查询，返回对应类型

user,err:= u.Where(u.ID.Eq(5)).Take()

如何使用 GEN

---

1. 下载

go get gorm.io/gen

2. 生成

更详细的配置示例可以参照：最佳实践 DEMO(https://github.com/idersec/gendemo)

执行以下方法后即可在指定目录生成对应代码：

import (

“gorm.io/gen”

)

func main() {

// 指定生成代码的具体(相对)目录，默认为：./query

// 默认情况下需要使用WithContext之后才可以查询，但可以通过设置gen.WithoutContext避免这个操作

g := gen.NewGenerator(gen.Config{

// 最终package不能设置为model，在有数据库表同步的情况下会产生冲突，若一定要使用可以单独指定model package的新名字

OutPath: “…/dal/query”,

ModelPkgPath: “…/dal/model”, // 默认情况下会跟随OutPath参数，在同目录下生成model目录

/* Mode: gen.WithoutContext,*/

})

// 复用工程原本使用的SQL连接配置db(*gorm.DB)

// 非必需，但如果需要复用连接时的gorm.Config或需要连接数据库同步表信息则必须设置

g.UseDB(db)

peopleTbl := g.GenerateModelAs(“people”, “People”) // 指定对应表格的结构体名称

// 为指定的结构体或表格生成基础CRUD查询方法，ApplyInterface生成效果的子集

g.ApplyBasic(

model.User{},

peopleTbl,

)

// 为指定的数据库表实现除基础方法外的相关方法, 同时也会生成ApplyBasic对应的基础方法

// 可以认为ApplyInterface方法是ApplyBasic的扩展版

g.ApplyInterface(func(model.SearchByTenantMethod,model.UpdateByTenantMethod) {}, // 指定方法interface，可指定多个

model.Order{},

g.GenerateModel(“Company”), // 在这里调用也会生成ApplyBasic对应的基础方法

)

// 执行并生成代码

g.Execute()

}

3. 基础查询

执行生成代码后，GEN 会帮助生成基础的查询方法，并且绑定到结构体上，可以直接调用函数查询获取查询结果，不需要提前定义变量，参数和结构体字段类型绑定，防止研发过程中误用。

u := query.Use(db).User

u.WithContext(ctx).Select(u.Name, u.Age).Create(&user)

// INSERT INTO users (name,age) VALUES (“modi”, 18)

user, err := u.WithContext(ctx).Where(u.Name.Eq(“iDer”),u.Age.Gte(18)).First()

// SELECT * FROM users WHERE name = “iDer” and age>=18;

_, err := u.WithContext(ctx).Where(u.ID.Eq(12)).Update(u.Name, “jinzhu”)

// UPDATE users SET name=“jinzhu”, updated_at=‘2013-11-17 21:34:10’ WHERE id=12;

e.WithContext(ctx).Where(u.ID.Eq(10)).Delete()

// DELETE from users where id = 10;

orders, err := o.WithContext(ctx).Where(u.Columns(o.Amount).Gt(o.Select(u.Amount.Avg())).Find()

// SELECT * FROM “orders” WHERE amount > (SELECT AVG(amount) FROM “orders”);

GEN 满足了基本上所有的日常使用的查询方法，包括事务、关联关系等高级用法，更多案例请参考：https://github.com/go-gorm/gen#readme

4. 自定义 SQL 查询

自定 SQL 的安全性是所有 ORM 最难解决的问题，GEN 使用模板注释的方法完美解决了这个问题，只需要将 SQL 注释到 interface 的方法上。SQL 支持简单的 where 查询和完整 SQL 查询，条件用Where()语法包住。Raw SQL 用sql()包住，也可省略直接写。

占位符

• gen.T 用于返回数据的结构体，会根据生成结构体或者数据库表结构自动生成

• gen.M 表示map[string]interface{},用于返回数据

• gen.RowsAffected 用于执行 SQL 进行更新或删除时候,用于返回影响行数

• @@table 查询的表名，如果没有传参，会根据结构体或者表名自动生成

• @@<name> 当表名或者字段名可控时候，用@@占位，name 为可变参数名，需要函数传入。

• @<name> 当数据可控时候，用@占位，name 为可变参数名，需要函数传入

子句

目前支持 if 、where 、set 子句，子句需要用{{}}括起来，并且需要用{{end}} 结束子句。where 和 set 子句会帮助做连接词补全和开头连接词删除。各个子句支持嵌套使用。

type Method interface {

// Where(“name=@name and age=@age”)

SimpleFindByNameAndAge(name string, age int) (gen.T, error)

// select * from users where id=@id

自我介绍一下，小编13年上海交大毕业，曾经在小公司待过，也去过华为、OPPO等大厂，18年进入阿里一直到现在。

深知大多数网络安全工程师，想要提升技能，往往是自己摸索成长，但自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年网络安全全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，基本涵盖了95%以上网络安全知识点，真正体系化！

由于文件比较大，这里只是将部分目录大纲截图出来，每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频，并且后续会持续更新

如果你觉得这些内容对你有帮助，可以添加VX：vip204888 （备注网络安全获取）

写在最后

在结束之际，我想重申的是，学习并非如攀登险峻高峰，而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后，持之以恒的学习变得愈发不易，如同在茫茫大海中独自划舟，稍有松懈便可能被巨浪吞噬。然而，对于我们程序员而言，学习是生存之本，是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习，我们便如同逆水行舟，不进则退，终将被时代的洪流所淘汰。因此，不断汲取新知识，不仅是对自己的提升，更是对自己的一份珍贵投资。让我们不断磨砺自己，与时代共同进步，书写属于我们的辉煌篇章。

需要完整版PDF学习资源私我

一个人可以走的很快，但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎扫码加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！

可能被巨浪吞噬。然而，对于我们程序员而言，学习是生存之本，是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习，我们便如同逆水行舟，不进则退，终将被时代的洪流所淘汰。因此，不断汲取新知识，不仅是对自己的提升，更是对自己的一份珍贵投资。让我们不断磨砺自己，与时代共同进步，书写属于我们的辉煌篇章。**

需要完整版PDF学习资源私我

一个人可以走的很快，但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎扫码加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！
[外链图片转存中…(img-SeqUv8iE-1713074018897)]