我正在尝试使用pq驱动程序对Go中的PostgreSQL数据库执行以下查询:
SELECT COUNT(id) FROM tags WHERE id IN (1, 2, 3)
哪里1, 2, 3过去了tags := []string{"1", "2", "3"}。
1, 2, 3
tags := []string{"1", "2", "3"}
我尝试了很多不同的事情,例如:
s := "(" + strings.Join(tags, ",") + ")" if err := Db.QueryRow(` SELECT COUNT(id) FROM tags WHERE id IN $1`, s, ).Scan(&num); err != nil { log.Println(err) }
结果是pq: syntax error at or near "$1"。我也试过
pq: syntax error at or near "$1"
if err := Db.QueryRow(` SELECT COUNT(id) FROM tags WHERE id IN ($1)`, strings.Join(stringTagIds, ","), ).Scan(&num); err != nil { log.Println(err) }
这也失败了 pq: invalid input syntax for integer: "1,2,3"
pq: invalid input syntax for integer: "1,2,3"
我也尝试直接传递一片整数/字符串并得到sql: converting Exec argument #0's type: unsupported type []string, a slice。
sql: converting Exec argument #0's type: unsupported type []string, a slice
那么如何在Go中执行此查询?
如果要为每个值生成一个带有参数占位符的SQL字符串,则立即生成最终SQL会更容易。
请注意,由于值是strings,因此存在进行SQL注入攻击的位置,因此我们首先测试所有string值是否确实是数字,并且仅在以下情况下进行:
string
tags := []string{"1", "2", "3"} buf := bytes.NewBufferString("SELECT COUNT(id) FROM tags WHERE id IN(") for i, v := range tags { if i > 0 { buf.WriteString(",") } if _, err := strconv.Atoi(v); err != nil { panic("Not number!") } buf.WriteString(v) } buf.WriteString(")")
执行它:
num := 0 if err := Db.QueryRow(buf.String()).Scan(&num); err != nil { log.Println(err) }
ANY
您还可以使用Postgresql的ANY,其语法如下:
expression operator ANY (array expression)
使用该查询,我们的查询可能如下所示:
SELECT COUNT(id) FROM tags WHERE id = ANY('{1,2,3}'::int[])
在这种情况下,您可以将数组的文本形式声明为参数:
SELECT COUNT(id) FROM tags WHERE id = ANY($1::int[])
可以这样简单地构建:
tags := []string{"1", "2", "3"} param := "{" + strings.Join(tags, ",") + "}"
请注意,在这种情况下不需要检查,因为数组表达式将不允许SQL注入(而是将导致查询执行错误)。
所以完整的代码:
tags := []string{"1", "2", "3"} q := "SELECT COUNT(id) FROM tags WHERE id = ANY($1::int[])" param := "{" + strings.Join(tags, ",") + "}" num := 0 if err := Db.QueryRow(q, param).Scan(&num); err != nil { log.Println(err) }
