Postgres中的Go和IN子句

时间:2016-06-26 08:45:55

标签: postgresql go

我正在尝试使用pq driver对Go中的PostgreSQL数据库执行以下查询:

SELECT COUNT(id)
FROM tags
WHERE id IN (1, 2, 3)

其中1, 2, 3在切片tags := []string{"1", "2", "3"}处传递。

我尝试过很多不同的事情:

s := "(" + strings.Join(tags, ",") + ")"
if err := Db.QueryRow(`
    SELECT COUNT(id)
    FROM tags
    WHERE id IN $1`, s,
).Scan(&num); err != nil {
    log.Println(err)
}

会产生pq: syntax error at or near "$1"。我也试过

if err := Db.QueryRow(`
    SELECT COUNT(id)
    FROM tags
    WHERE id IN ($1)`, strings.Join(stringTagIds, ","),
).Scan(&num); err != nil {
    log.Println(err)
}

也因pq: invalid input syntax for integer: "1,2,3"

而失败

我还尝试直接传递一片整数/字符串并获得sql: converting Exec argument #0's type: unsupported type []string, a slice

那么如何在Go中执行此查询?

2 个答案:

答案 0 :(得分:9)

预构建SQL查询(阻止SQL注入)

如果您为每个值生成带有param占位符的SQL字符串,则可以更轻松地立即生成最终SQL。

请注意,由于值为string s,因此存在SQL注入攻击的位置,因此我们首先测试所有string值是否确实是数字,我们只在这样做: 

tags := []string{"1", "2", "3"}
buf := bytes.NewBufferString("SELECT COUNT(id) FROM tags WHERE id IN(")
for i, v := range tags {
    if i > 0 {
        buf.WriteString(",")
    }
    if _, err := strconv.Atoi(v); err != nil {
        panic("Not number!")
    }
    buf.WriteString(v)
}
buf.WriteString(")")

执行它:

num := 0
if err := Db.QueryRow(buf.String()).Scan(&num); err != nil {
    log.Println(err)
}

使用ANY

您还可以使用Postgresql's ANY,其语法如下:

expression operator ANY (array expression)

使用它,我们的查询可能如下所示:

SELECT COUNT(id) FROM tags WHERE id = ANY('{1,2,3}'::int[])

在这种情况下,您可以将数组的文本形式声明为参数:

SELECT COUNT(id) FROM tags WHERE id = ANY($1::int[])

可以简单地构建如下:

tags := []string{"1", "2", "3"}
param := "{" + strings.Join(tags, ",") + "}"

请注意,在这种情况下不需要检查,因为数组表达式不允许SQL注入(但会导致查询执行错误)。

所以完整的代码:

tags := []string{"1", "2", "3"}

q := "SELECT COUNT(id) FROM tags WHERE id = ANY($1::int[])"
param := "{" + strings.Join(tags, ",") + "}"

num := 0
if err := Db.QueryRow(q, param).Scan(&num); err != nil {
    log.Println(err)
}

答案 1 :(得分:5)

这实际上不是Golang问题,您在SQL请求中使用字符串与整数(id)进行比较。这意味着,SQL接收:

SELECT COUNT(id)
FROM tags
WHERE id IN ("1, 2, 3")

而不是你想要的东西。您只需将标记转换为整数并将其传递给查询。

编辑: 由于您尝试将多个值传递给查询,因此您应该告诉它:

params := make([]string, 0, len(tags))
for i := range tags {
    params = append(params, fmt.Sprintf("$%d", i+1)
}
query := fmt.Sprintf("SELECT COUNT(id) FROM tags WHERE id IN (%s)", strings.Join(params, ", "))

这将使用"($ 1,$ 2,$ 3 ...&#34 ;,然后将您的代码转换为int:

结束查询 
values := make([]int, 0, len(tags))
for _, s := range tags {
    val, err := strconv.Atoi(s)
    if err != nil {
        // Do whatever is required with the error
        fmt.Println("Err : ", err)
    } else {
        values = append(values, val)
    }
}

最后,您可以在查询中使用它:

Db.QueryRow(query, values...)

这应该这样做。

相关问题
最新问题