web-dev-qa-db-ja.com

Golangを使用してSQLでINルックアップを実行する方法は?

Goは、このSQLクエリの2番目のパラメータに何を求めていますか。 postgresでINルックアップを使用しようとしています。

stmt, err := db.Prepare("SELECT * FROM awesome_table WHERE id= $1 AND other_field IN $2")
rows, err := stmt.Query(10, ???)

私が本当に欲しいもの:

SELECT * FROM awesome_table WHERE id=10 AND other_field IN (this, that);
sqlgo
38
a.m.

クエリは、単にvarargsを使用してSQLのparamsを置き換えます。したがって、この例では、

rows, err := stmt.Query(10)

あなたの2番目の例のこれとそれは動的だったと言うと、あなたはやります

stmt, err := db.Prepare("SELECT * FROM awesome_table WHERE id=$1 AND other_field IN ($2, $3)")
rows, err := stmt.Query(10,"this","that")

「IN」部分に可変引数がある場合は、実行できます( play

package main

import "fmt"
import "strings"

func main() {
    stuff := []interface{}{"this", "that", "otherthing"}
    sql := "select * from foo where id=? and name in (?" + strings.Repeat(",?", len(stuff)-1) + ")"
    fmt.Println("SQL:", sql)
    args := []interface{}{10}
    args = append(args, stuff...)
    fakeExec(args...)
    // This also works, but I think it's harder for folks to read
    //fakeExec(append([]interface{}{10},stuff...)...)
}

func fakeExec(args ...interface{}) {
    fmt.Println("Got:", args)
}
41
David Budworth

pq driver を使用しているようです。 pqは、最近 pq.Array を介してPostgres固有の配列サポートを追加しました( pull request 466 を参照)。あなたが望むものを得ることができます:

stmt, err := db.Prepare("SELECT * FROM awesome_table WHERE id= $1 AND other_field = ANY($2)")
rows, err := stmt.Query(10, pq.Array([]string{'this','that'})

私はこれがSQLを生成すると思います:

SELECT * FROM awesome_table WHERE id=10 AND other_field = ANY('{"this", "that"}');

これは準備されたステートメントを利用するため、入力はサニタイズする必要があります。

33
Pete

私のような人がクエリで配列を使用しようとした場合、簡単な解決策があります。

get https://github.com/jmoiron/sqlx

ids := []int{1, 2, 3}
q,args,err := sqlx.In("SELECT id,username FROM users WHERE id IN(?);", ids) //creates the query string and arguments
//you should check for errors of course
q = sqlx.Rebind(sqlx.DOLLAR,q) //only if postgres
rows, err := db.Query(q,args...) //use normal POSTGRES/ANY SQL driver important to include the '...' after the Slice(array)
17
Krtko

PostgreSQLでは、少なくとも、単一のプレースホルダーを使用して、配列全体を文字列として渡すオプションがあります。

db.Query("select 1 = any($1::integer[])", "{1,2,3}")

この方法では、単一のクエリ文字列を使用でき、すべての文字列の連結はパラメーターに限定されます。また、パラメーターの形式が正しくない場合、SQLインジェクションは発生しません。次のようなメッセージが表示されます:エラー:整数の入力構文が無効です: "xyz"

https://groups.google.com/d/msg/golang-nuts/vHbg09g7s2I/RKU7XsO25SIJ

11
Ivan Rave

歩行者ではなく、サーバーが生成された場合にのみ使用されます。 UserIDsは文字列のスライス(リスト)です。

sqlc := `select count(*) from test.Logins where UserID 
                in ("` + strings.Join(UserIDs,`","`) + `")`
errc := db.QueryRow(sqlc).Scan(&Logins)
0
user2099484

この直接変換を使用することもできます。

awesome_id_list := []int{3,5,8}

var str string
for _, value := range awesome_id_list {
        str += strconv.Itoa(value) + ","
}

query := "SELECT * FROM awesome_table WHERE id IN (" + str[:len(str)-1] + ")"

[〜#〜] warning [〜#〜]
このメソッドはSQLインジェクションに対して脆弱です。このメソッドは、awesome_id_listはサーバー生成です。

0
Thellimist