[go]Postgres 中的 Go 和 IN 子句
· 收录于 2024-01-06 14:02:08 · source URL
问题详情
我正在尝试使用 pq 驱动程序对 Go 中的 PostgreSQL 数据库执行以下查询:
SELECT COUNT(id)
FROM tags
WHERE id IN (1, 2, 3)
在切片标签处传递 := []string{1, 2, 3}。
我尝试过很多不同的东西,比如:
s := "(" + strings.Join(tags, ",") + ")"
if err := Db.QueryRow(`
SELECT COUNT(id)
FROM tags
WHERE id IN $1`, s,
).Scan(&num); err != nil {
log.Println(err)
}
这会导致 PQ: 语法错误等于或接近$1。我也试过了
if err := Db.QueryRow(`
SELECT COUNT(id)
FROM tags
WHERE id IN ($1)`, strings.Join(stringTagIds, ","),
).Scan(&num); err != nil {
log.Println(err)
}
这也失败了 PQ: Invalid input syntax for integer: 1,2,3
我还尝试直接传递整数/字符串的切片,并得到了 sql: 转换 Exec 参数 #0 的类型:不支持的类型 []string,一个切片。
那么如何在 Go 中执行这个查询呢?
最佳回答
预生成 SQL 查询(防止 SQL 注入)
如果要为每个值生成一个带有 param 占位符的 SQL 字符串,则立即生成最终 SQL 会更容易。
请注意,由于值是字符串s,因此存在 SQL 注入攻击,因此我们首先测试所有字符串值是否确实是数字,并且只有在是时才继续:
tags := []string{"1", "2", "3"}
buf := bytes.NewBufferString("SELECT COUNT(id) FROM tags WHERE id IN(")
for i, v := range tags {
if i > 0 {
buf.WriteString(",")
}
if _, err := strconv.Atoi(v); err != nil {
panic("Not number!")
}
buf.WriteString(v)
}
buf.WriteString(")")
执行它:
num := 0
if err := Db.QueryRow(buf.String()).Scan(&num); err != nil {
log.Println(err)
}
使用 ANY
也可以使用 Postgresql 的 ANY,其语法如下:
expression operator ANY (array expression)
使用它,我们的查询可能如下所示:
SELECT COUNT(id) FROM tags WHERE id = ANY('{1,2,3}'::int[])
在这种情况下,您可以将数组的文本形式声明为参数:
SELECT COUNT(id) FROM tags WHERE id = ANY($1::int[])
可以简单地这样构建:
tags := []string{"1", "2", "3"}
param := "{" + strings.Join(tags, ",") + "}"
请注意,在这种情况下不需要检查,因为数组表达式不允许 SQL 注入(而是会导致查询执行错误)。
所以完整的代码:
tags := []string{"1", "2", "3"}
q := "SELECT COUNT(id) FROM tags WHERE id = ANY($1::int[])"
param := "{" + strings.Join(tags, ",") + "}"
num := 0
if err := Db.QueryRow(q, param).Scan(&num); err != nil {
log.Println(err)
}