logo标签列表

如何在Golang中使用SQL执行IN查询?

sqlgo
61

在这个SQL查询中,Go希望第二个参数是什么。 我正在尝试在Postgres中使用IN查找。

stmt, err := db.Prepare("SELECT * FROM awesome_table WHERE id= $1 AND other_field IN $2")
rows, err := stmt.Query(10, ???)

我真正想要的是:

SELECT * FROM awesome_table WHERE id=10 AND other_field IN (this, that);
相关的Go问题:https://github.com/golang/go/issues/16235 - foz
9个回答
63

看起来你可能正在使用pq驱动程序。最近,pq通过pq.Array添加了针对Postgres特定的数组支持(请参见 拉取请求 466)。你可以通过以下方式获得所需内容:

stmt, err := db.Prepare("SELECT * FROM awesome_table WHERE id= $1 AND other_field = ANY($2)")
rows, err := stmt.Query(10, pq.Array([]string{'this','that'})

我认为这会生成SQL语句:

SELECT * FROM awesome_table WHERE id=10 AND other_field = ANY('{"this", "that"}');

请注意,这里使用了预处理语句,因此输入应该进行过滤。

9
这是最佳选择,因为它没有注入风险,并允许重复使用相同的预处理语句(与当前接受的答案相比,这提高了性能)。 - Dave
59

查询只需使用varargs来替换SQL中的参数。因此,在您的示例中,您只需要执行以下操作:

rows, err := stmt.Query(10)

假设你的第二个示例中的这些内容是动态的,那么您需要执行以下操作:

stmt, err := db.Prepare("SELECT * FROM awesome_table WHERE id=$1 AND other_field IN ($2, $3)")
rows, err := stmt.Query(10,"this","that")
如果"IN"部分有可变参数,您可以这样做(play)
package main

import "fmt"
import "strings"

func main() {
    stuff := []interface{}{"this", "that", "otherthing"}
    sql := "select * from foo where id=? and name in (?" + strings.Repeat(",?", len(stuff)-1) + ")"
    fmt.Println("SQL:", sql)
    args := []interface{}{10}
    args = append(args, stuff...)
    fakeExec(args...)
    // This also works, but I think it's harder for folks to read
    //fakeExec(append([]interface{}{10},stuff...)...)
}

func fakeExec(args ...interface{}) {
    fmt.Println("Got:", args)
}
9
如果IN子句中的项目数量不定,该怎么办? - a.m.
8
我明白了,这样做应该是可行的。我猜想你期望SQL驱动程序可以将一个切片或者类似的东西转换成合适的内容。例如: stmt, err := db.Prepare("SELECT * FROM awesome_table WHERE id= $1 AND other_field IN $2")args:= []int{1,3,4,5}rows, err := stmt.Query(10, args) - a.m.
1
是的,那样会更好。一直希望Java端也有这个功能。数据库需要本地支持它,因为SQL部分不变地发送到服务器,而参数则单独发送(似乎没有数据库支持列表/数组参数)。 - David Budworth
你可以选择使用strings.Join(strings.Split(strings.Repeat("?", len(stuff)), ""), ",")来替换一系列问号的构造。我觉得这样稍微少了一些思维负担。当然,你需要对空的stuff进行保护。 - harm
1
请注意,由于其使用位置占位符($1、$2 等),这个解决方案与 lib/pq 结合使用会变得更加复杂。 - Alec Thomas
使用 pq,您可以执行 where other_field = ANY($2) 然后传递 pq.StringArray(stuff)。这比计算 where 子句要好得多。 - David Budworth
25

如果有人像我一样尝试在查询中使用数组,这里有一个简单的解决方案。

获取 https://github.com/jmoiron/sqlx

ids := []int{1, 2, 3}
q,args,err := sqlx.In("SELECT id,username FROM users WHERE id IN(?);", ids) //creates the query string and arguments
//you should check for errors of course
q = sqlx.Rebind(sqlx.DOLLAR,q) //only if postgres
rows, err := db.Query(q,args...) //use normal POSTGRES/ANY SQL driver important to include the '...' after the Slice(array)
5
我补充说明一下,它还支持多个参数:name := "foobar" q,args,err := sqlx.In("SELECT id,username FROM users WHERE id IN(?) AND name = (?);", ids, name) - eduncan911
我们如何编写以下查询语句:select * from student where (name, surname) IN (("eduncan", "911"), ("somesh","sing") .....) ? - Somesh
在 Slice(array) 后面加上 '...' 是救了我的命。 - user11809641
20
使用PostgreSQL的话,至少你可以选择将整个数组作为字符串传递,使用一个占位符:
db.Query("select 1 = any($1::integer[])", "{1,2,3}")

这样做的好处是,您可以使用单个查询字符串,所有字符串连接都限制在参数中。如果参数格式不正确,则不会发生SQL注入;您只会看到以下内容:ERROR: invalid input syntax for integer: "xyz"。

https://groups.google.com/d/msg/golang-nuts/vHbg09g7s2I/RKU7XsO25SIJ

6
如果您使用 sqlx,可以按照以下方式操作:https://github.com/jmoiron/sqlx/issues/346
arr := []string{"this", "that"}
query, args, err := sqlx.In("SELECT * FROM awesome_table WHERE id=10 AND other_field IN (?)", arr)
 
query = db.Rebind(query) // sqlx.In returns queries with the `?` bindvar, rebind it here for matching the database in used (e.g. postgre, oracle etc, can skip it if you use mysql)
rows, err := db.Query(query, args...)
1
var awesome AwesomeStruct
var awesomes []*AwesomeStruct

ids := []int{1,2,3,4}
q, args, err := sqlx.In(`
  SELECT * FROM awesome_table WHERE id=(?) AND other_field IN (?)`, 10, ids)

// use .Select for multiple return
err = db.Select(&awesomes, db.SQL.Rebind(q), args...)

// use .Get for single return
err = db.Get(&awesome, db.SQL.Rebind(q), args...)
0
//I tried a different way. A simpler and easier way, maybe not too efficient.
stringedIDs := fmt.Sprintf("%v", ids)
stringedIDs = stringedIDs[1 : len(stringedIDs)-1]
stringedIDs = strings.ReplaceAll(stringedIDs, " ", ",")
query := "SELECT * FROM users WHERE id IN ("  + stringedIDs + ")"
//Then follow your standard database/sql Query
rows, err := db.Query(query)
//error checking
if err != nil {
    // Handle errors
} else {
    // Process rows
}
-1

如果是服务器生成的,这个方法就比较普通了。其中UserIDs是一个字符串列表:

sqlc := `select count(*) from test.Logins where UserID 
                in ("` + strings.Join(UserIDs,`","`) + `")`
errc := db.QueryRow(sqlc).Scan(&Logins)
3
这个系统容易受到SQL注入攻击。 - Jeeyoung Kim
1
是的,这就是为什么它说“仅在服务器生成时使用”。注入攻击只来自用户输入。无论如何,没有任何阻止在sqlc上使用db.Prepare的方法。 - user2099484
-3

你也可以使用这种直接转换方法。

awesome_id_list := []int{3,5,8}

var str string
for _, value := range awesome_id_list {
        str += strconv.Itoa(value) + ","
}

query := "SELECT * FROM awesome_table WHERE id IN (" + str[:len(str)-1] + ")"

警告
此方法容易受到SQL注入攻击。仅在awesome_id_list由服务器生成时使用此方法。

5
这样做会取消安全检查,让 SQL 注入成为可能,对吗? - Song Gao
@SongGao 你是正确的。这就是为什么它不应该与用户输入一起使用。我正在为这种情况添加一个警告。 - Thellimist
我会远离这个建议。风险很小,但“只有偏执狂者才能生存”。如果“服务器”生成意外输入,则可能会注入数据库。 - Ezequiel Moreno
如果您的数组是整数类型,那是安全的。但如果它是字符串数组,您应该担心 SQL 注入问题。 - Bogdan Constantinescu
网页内容由stack overflow 提供, 点击上面的
可以查看英文原文,
原文链接