我正在尝试使用 pq driver 对 Go 中的 PostgreSQL 数据库执行以下查询:
SELECT COUNT(id)
FROM tags
WHERE id IN (1, 2, 3)
哪里1, 2, 3在 slice tags := []string{"1", "2", "3"} 处传递.
我试过很多不同的东西,比如:
s := "(" + strings.Join(tags, ",") + ")"
if err := Db.QueryRow(`
SELECT COUNT(id)
FROM tags
WHERE id IN $1`, s,
).Scan(&num); err != nil {
log.Println(err)
}
结果为 pq: syntax error at or near "$1" .我也试过了
if err := Db.QueryRow(`
SELECT COUNT(id)
FROM tags
WHERE id IN ($1)`, strings.Join(stringTagIds, ","),
).Scan(&num); err != nil {
log.Println(err)
}
它也因 pq: invalid input syntax for integer: "1,2,3" 而失败
我还尝试直接传递一段整数/字符串并得到 sql: converting Exec argument #0's type: unsupported type []string, a slice .
那么如何在 Go 中执行此查询?
最佳答案
预构建 SQL 查询(防止 SQL 注入(inject))
如果您要为每个值生成一个带有参数占位符的 SQL 字符串,那么直接生成最终的 SQL 会更容易。
请注意,由于值是 string,因此存在 SQL 注入(inject)攻击的地方,因此我们首先测试所有 string 值是否确实是数字,只有在所以:
tags := []string{"1", "2", "3"}
buf := bytes.NewBufferString("SELECT COUNT(id) FROM tags WHERE id IN(")
for i, v := range tags {
if i > 0 {
buf.WriteString(",")
}
if _, err := strconv.Atoi(v); err != nil {
panic("Not number!")
}
buf.WriteString(v)
}
buf.WriteString(")")
执行它:
num := 0
if err := Db.QueryRow(buf.String()).Scan(&num); err != nil {
log.Println(err)
}
使用任何
您还可以使用 Postgresql's ANY ,其语法如下:
expression operator ANY (array expression)
使用它,我们的查询可能如下所示:
SELECT COUNT(id) FROM tags WHERE id = ANY('{1,2,3}'::int[])
在这种情况下,您可以将数组的文本形式声明为参数:
SELECT COUNT(id) FROM tags WHERE id = ANY($1::int[])
可以这样简单地构建:
tags := []string{"1", "2", "3"}
param := "{" + strings.Join(tags, ",") + "}"
请注意,在这种情况下不需要检查,因为数组表达式不允许 SQL 注入(inject)(但会导致查询执行错误)。
所以完整的代码:
tags := []string{"1", "2", "3"}
q := "SELECT COUNT(id) FROM tags WHERE id = ANY($1::int[])"
param := "{" + strings.Join(tags, ",") + "}"
num := 0
if err := Db.QueryRow(q, param).Scan(&num); err != nil {
log.Println(err)
}
关于postgresql - Postgres 中的 Go 和 IN 子句,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/52495295/