当前位置: 首页 > 面试题库 >

Postgres中的Go和IN子句

贾飞章
2023-03-14
问题内容

我正在尝试使用pq驱动程序对Go中的PostgreSQL数据库执行以下查询:

SELECT COUNT(id)
FROM tags
WHERE id IN (1, 2, 3)

哪里1, 2, 3过去了tags := []string{"1", "2", "3"}

我尝试了很多不同的事情,例如:

s := "(" + strings.Join(tags, ",") + ")"
if err := Db.QueryRow(`
    SELECT COUNT(id)
    FROM tags
    WHERE id IN $1`, s,
).Scan(&num); err != nil {
    log.Println(err)
}

结果是pq: syntax error at or near "$1"。我也试过

if err := Db.QueryRow(`
    SELECT COUNT(id)
    FROM tags
    WHERE id IN ($1)`, strings.Join(stringTagIds, ","),
).Scan(&num); err != nil {
    log.Println(err)
}

这也失败了 pq: invalid input syntax for integer: "1,2,3"

我也尝试直接传递一片整数/字符串并得到sql: converting Exec argument #0's type: unsupported type []string, a slice

那么如何在Go中执行此查询?


问题答案:

预先构建SQL查询(防止SQL注入)

如果要为每个值生成一个带有参数占位符的SQL字符串,则立即生成最终SQL会更容易。

请注意,由于值是strings,因此存在进行SQL注入攻击的位置,因此我们首先测试所有string值是否确实是数字,并且仅在以下情况下进行:

tags := []string{"1", "2", "3"}
buf := bytes.NewBufferString("SELECT COUNT(id) FROM tags WHERE id IN(")
for i, v := range tags {
    if i > 0 {
        buf.WriteString(",")
    }
    if _, err := strconv.Atoi(v); err != nil {
        panic("Not number!")
    }
    buf.WriteString(v)
}
buf.WriteString(")")

执行它:

num := 0
if err := Db.QueryRow(buf.String()).Scan(&num); err != nil {
    log.Println(err)
}

使用 ANY

您还可以使用Postgresql的ANY,其语法如下:

expression operator ANY (array expression)

使用该查询,我们的查询可能如下所示:

SELECT COUNT(id) FROM tags WHERE id = ANY('{1,2,3}'::int[])

在这种情况下,您可以将数组的文本形式声明为参数:

SELECT COUNT(id) FROM tags WHERE id = ANY($1::int[])

可以这样简单地构建:

tags := []string{"1", "2", "3"}
param := "{" + strings.Join(tags, ",") + "}"

请注意,在这种情况下不需要检查,因为数组表达式将不允许SQL注入(而是将导致查询执行错误)。

所以完整的代码

tags := []string{"1", "2", "3"}

q := "SELECT COUNT(id) FROM tags WHERE id = ANY($1::int[])"
param := "{" + strings.Join(tags, ",") + "}"

num := 0
if err := Db.QueryRow(q, param).Scan(&num); err != nil {
    log.Println(err)
}


 类似资料:
  • 问题内容: 我有一个数据库,其中有四列对应于开始和结束位置的地理坐标x,y。这些列是: 00 00 x1 11 我有这四个列的索引,其顺序为x0,y0,x1,y1。 我列出了大约一百种地理对组合。我将如何有效地查询此数据? 我想按照此SO答案的建议执行类似的操作,但它仅适用于Oracle数据库,不适用于MySQL: 我以为可能对索引做些什么?最好的方法是什么(即:最快的查询)?谢谢你的帮助! 笔记

  • 问题内容: 当我获得不同的记录计数时,出现了这个问题,我认为这是相同的查询,一个使用 约束,另一个使用a 。约束中的表具有一个空值(错误数据),该空值导致该查询返回计数为0的记录。我有点理解为什么,但是我可以使用一些帮助来完全理解这个概念。 简单地说,为什么查询A返回结果而B不返回结果? 这是在SQL Server 2005上。我还发现调用导致B返回结果。 问题答案: 查询A与以下内容相同: 既然

  • 我有一个类Api,它包含一个数据列表:

  • 问题内容: 我有三个表来定义用户: 我想创建一个对应用程序中的其他用户具有一定访问权限的中间层用户。为了确定已登录的用户可以访问哪些用户,我使用了如下子查询: 当前,我将子查询字符串存储在变量中,然后每次需要拉出用户列表时,将其动态插入到外部查询中。完成此操作后,我想到“最好只存储实际s 的字符串”。 因此,与其将其存储在变量中… …我实际上是执行查询并以这种方式存储结果… 然后,当我需要拉一小部

  • 问题内容: 在处理大型数据库时,哪个性能更好,还是在SQL子句中? 它们的执行方式有什么不同吗? 问题答案: 我假设您想知道以下两者之间的性能差异: 根据MySQL手册,如果值是常数,则对列表进行排序,然后使用二进制搜索。我可以想象一下,它们以不特定的顺序进行逐一评估。因此在某些情况下速度更快。 最好的了解方法是使用特定数据在数据库中同时对它们进行概要分析,以查看哪种方法更快。 我在具有10000

  • 我是QueryDSL的新手,能够在WHERE-in子句中组装具有多个列的查询,如下所示: 我有主要查询的部分: 但我不知道如何实现where子句。如何在QueryDSL中实现这一点? 提前致谢!