以编程方式构建SQL查询的强大方法

Question

我不得不求助于ORM不足的原始SQL（使用Django 1.7）。问题是大多数查询最终都有80-90％的相似性。我无法找到一个强大的＆amp;在不违反可重用性的情况下构建查询的安全方法。

字符串连接是唯一的出路，即使用if-else条件构建无参数查询字符串，然后使用预准备语句安全地包含参数（以避免SQL注入）。我想按照一种简单的方法为我的项目模板化SQL，而不是重新发明一个迷你ORM。

例如，请考虑以下问题：

SELECT id, name, team, rank_score
FROM
  ( SELECT id, name, team
    ROW_NUMBER() OVER (PARTITION BY team
                       ORDER BY count_score DESC) AS rank_score
    FROM 
      (SELECT id, name, team
       COUNT(score) AS count_score
       FROM people
       INNER JOIN scores on (scores.people_id = people.id)
       GROUP BY id, name, team
      ) AS count_table
  ) AS rank_table
WHERE rank_score < 3

我怎么能：

a）在WHERE 或上添加可选的people约束 b）将INNER JOIN更改为LEFT OUTER 或
c）将COUNT更改为SUM 或
d）完全跳过OVER / PARTITION条款？

Answer 1

更好的查询

对于初学者，您可以修复语法，简化和澄清一下：

SELECT *
FROM  (
   SELECT p.person_id, p.name, p.team, sum(s.score)::int AS score
         ,rank() OVER (PARTITION BY p.team
                       ORDER BY sum(s.score) DESC)::int AS rnk
    FROM  person p
    JOIN  score  s USING (person_id)
    GROUP BY 1
   ) sub
WHERE  rnk < 3;

• 以我更新的表格布局为基础。见下面的小提琴。

• 您不需要其他子查询。窗口函数在聚合函数之后执行，因此您可以像演示一样嵌套它。

• 在谈论＆＃34;排名＆＃34;时，您可能想要使用rank()，而不是row_number()。

• 假设people.people_id是PK，您可以简化GROUP BY。

• 请务必对所有可能不明确的列名进行表格限定

PL / pgSQL函数

然后我会写一个plpgsql函数，它为你的变量部分提供参数。 实施a - c分。 d不清楚，留给你添加。

CREATE OR REPLACE FUNCTION f_demo(_agg text       DEFAULT 'sum'
                               , _left_join bool  DEFAULT FALSE
                               , _where_name text DEFAULT NULL)
  RETURNS TABLE(person_id int, name text, team text, score int, rnk int) AS
$func$
DECLARE
   _agg_op  CONSTANT text[] := '{count, sum, avg}';  -- allowed functions
   _sql     text;
BEGIN

-- assert --
IF _agg ILIKE ANY (_agg_op) THEN
   -- all good
ELSE
   RAISE EXCEPTION '_agg must be one of %', _agg_op;
END IF;

-- query --
_sql := format('
SELECT *
FROM  (
   SELECT p.person_id, p.name, p.team, %1$s(s.score)::int AS score
         ,rank() OVER (PARTITION BY p.team
                       ORDER BY %1$s(s.score) DESC)::int AS rnk
    FROM  person p
    %2$s  score  s USING (person_id)
    %3$s
    GROUP BY 1
   ) sub
WHERE  rnk < 3
ORDER  BY team, rnk'
   , _agg
   , CASE WHEN _left_join THEN 'LEFT JOIN' ELSE 'JOIN' END
   , CASE WHEN _where_name <> '' THEN 'WHERE p.name LIKE $1' ELSE '' END
);

-- debug   -- quote when tested ok
-- RAISE NOTICE '%', _sql;

-- execute -- unquote when tested ok
RETURN QUERY EXECUTE _sql
USING  _where_name;   -- $1

END
$func$  LANGUAGE plpgsql;

呼叫：

SELECT * FROM f_demo();
SELECT * FROM f_demo('sum', TRUE, '%2');    
SELECT * FROM f_demo('avg', FALSE);
SELECT * FROM f_demo(_where_name := '%1_'); -- named param

SQL Fiddle

• 您需要对PL / pgSQL有一个深刻的理解。此外，还有太多不足以解释的问题。您可以在plpgsql下的SO上找到答案中的相关答案。

• 安全地处理所有参数，不能进行SQL注入。更多：

  • Define table and column names as arguments in a plpgsql function?
  • Table name as a PostgreSQL function parameter

• 特别注意，如何在查询sting中使用位置参数WHERE有条件地添加_where_name子句（当传递$1时）。该值通过USING clause传递给EXECUTE 作为值。没有类型转换，没有转义，没有SQL注入的机会。例子：

  • Row expansion via "*" is not supported here
  • SQL state: 42601 syntax error at or near "11"
  • Refactor a PL/pgSQL function to return the output of various SELECT queries

• 对函数参数使用DEFAULT值，因此您可以随意提供任何值。更多：

  • Functions with variable number of input parameters
  • The manual on calling functions

• 函数format()有助于以安全和干净的方式构建复杂的动态SQL字符串。