Что хочет Go для второго параметра в этом SQL-запросе.
Я пытаюсь использовать поиск IN в postgres.
stmt, err := db.Prepare("SELECT * FROM awesome_table WHERE id= $1 AND other_field IN $2")
rows, err := stmt.Query(10, ???)
Что я действительно хочу:
SELECT * FROM awesome_table WHERE id=10 AND other_field IN (this, that);
Запрос просто берет varargs для замены параметров в вашем sql поэтому в вашем примере вы просто выполните
rows, err := stmt.Query(10)
скажем, что это и ваш второй пример были динамическими, тогда вы сделали бы
stmt, err := db.Prepare("SELECT * FROM awesome_table WHERE id=$1 AND other_field IN ($2, $3)")
rows, err := stmt.Query(10,"this","that")
Если у вас есть переменные args для части "IN", вы можете сделать (play)
package main
import "fmt"
import "strings"
func main() {
stuff := []interface{}{"this", "that", "otherthing"}
sql := "select * from foo where id=? and name in (?" + strings.Repeat(",?", len(stuff)-1) + ")"
fmt.Println("SQL:", sql)
args := []interface{}{10}
args = append(args, stuff...)
fakeExec(args...)
// This also works, but I think it harder for folks to read
//fakeExec(append([]interface{}{10},stuff...)...)
}
func fakeExec(args ...interface{}) {
fmt.Println("Got:", args)
}
Похоже, вы можете использовать pq driver. pq недавно добавлена поддержка Array с поддержкой Postgres через pq.Array (см. pull запрос 466). Вы можете получить то, что хотите, через:
stmt, err := db.Prepare("SELECT * FROM awesome_table WHERE id= $1 AND other_field = ANY($2)")
rows, err := stmt.Query(10, pq.Array([]string{'this','that'})
Я думаю, что это генерирует SQL:
SELECT * FROM awesome_table WHERE id=10 AND other_field = ANY('{"this", "that"}');
Обратите внимание, что это использует подготовленные инструкции, поэтому входы должны быть дезинфицированы.
Если кто-то вроде меня пытался использовать массив с запросом, вот простое решение.
get https://github.com/jmoiron/sqlx
ids := []int{1, 2, 3}
q,args,err := sqlx.In("SELECT id,username FROM users WHERE id IN(?);", ids) //creates the query string and arguments
//you should check for errors of course
q = sqlx.Rebind(sqlx.DOLLAR,q) //only if postgres
rows, err := db.Query(q,args...) //use normal POSTGRES/ANY SQL driver important to include the '...' after the Slice(array)
С PostgreSQL, по крайней мере, у вас есть возможность передать весь массив в виде строки с использованием одного заполнителя:
db.Query("select 1 = any($1::integer[])", "{1,2,3}")
Таким образом, вы можете использовать одну строку запроса, и вся конкатенация строк ограничивается параметром. И если параметр неверен, вы не получите SQL-инъекцию; вы просто получите что-то вроде: ERROR: недопустимый синтаксис ввода для целого: "xyz"
https://groups.google.com/d/msg/golang-nuts/vHbg09g7s2I/RKU7XsO25SIJ
Вы также можете использовать это прямое преобразование.
awesome_id_list := []int{3,5,8}
var str string
for _, value := range awesome_id_list {
str += strconv.Itoa(value) + ","
}
query := "SELECT * FROM awesome_table WHERE id IN (" + str[:len(str)-1] + ")"
Внимание
Этот метод уязвим для SQL Injection. Используйте этот метод, только если awesome_id_list создан сервером.
Скорее пешеход и только для использования в случае создания сервера. Где UserIDs - это срез (список) строк:
sqlc := `select count(*) from test.Logins where UserID
in ("` + strings.Join(UserIDs,`","`) + `")`
errc := db.QueryRow(sqlc).Scan(&Logins)