我有一个PostgreSQL 9.1数据库,其中部分处理代理佣金。每个代理商都有自己的计算公式,他们可以得到多少佣金。我有一个函数来生成每个代理应获得的佣金数量,但是随着代理数量的增加,它变得无法使用。被迫做一些非常长的case语句和重复代码,这使我的功能变得非常庞大。
所有公式都有常量变量:
d ..该月工作的天数 r ..新节点累积 l ..忠诚度得分 s ..子代理人佣金 b ..基本利率 我..获得的收入
公式可以是:
d*b+(l*4+r)+(i/d)+s每个代理商与人力资源部门协商付款方式。因此,我可以将公式存储在代理表中,然后像一个小的函数一样,仅从表中获取公式并将其转换为值并计算金额吗?
Answers:
您的公式如下所示:
d*b+(l*4+r)+(i/d)+s我将用$n符号替换变量,以便可以直接在plpgsql中将其替换为值EXECUTE(请参见下文):
$1*$5+($3*4+$2)+($6/$1)+$4您可以额外存储原始公式(供人眼使用),也可以使用以下表达式动态生成此格式:
SELECT regexp_replace(regexp_replace(regexp_replace(
regexp_replace(regexp_replace(regexp_replace(
'd*b+(l*4+r)+(i/d)+s'
, '\md\M', '$1', 'g')
, '\mr\M', '$2', 'g')
, '\ml\M', '$3', 'g')
, '\ms\M', '$4', 'g')
, '\mb\M', '$5', 'g')
, '\mi\M', '$6', 'g');只要确保您的翻译是正确的即可。regexp表达式的一些解释:
\ m ..仅在单词开头
匹配\ M ..仅在单词结尾匹配
第四个参数'g'..全局替换
CREATE OR REPLACE FUNCTION f_calc(
d int -- days worked that month
,r int -- new nodes accuired
,l int -- loyalty score
,s numeric -- subagent commission
,b numeric -- base rate
,i numeric -- revenue gained
,formula text
,OUT result numeric
) RETURNS numeric AS
$func$
BEGIN
EXECUTE 'SELECT '|| formula
INTO result
USING $1, $2, $3, $4, $5, $6;
END
$func$ LANGUAGE plpgsql SECURITY DEFINER IMMUTABLE; 呼叫:
SELECT f_calc(1, 2, 3, 4.1, 5.2, 6.3, '$1*$5+($3*4+$2)+($6/$1)+$4');返回值:
29.6000000000000000该功能以6值参数formula text为第7位。我将公式放在最后,因此我们可以使用$1 .. $6代替$2 .. $7。仅出于可读性考虑。
我认为合适的是为值分配了数据类型。分配适当的类型(以执行基本的健全性检查)或将其全部设置为numeric:
通过USING子句传递用于动态执行的值。这样可以避免来回转换,并使一切变得更简单,更安全,更快。
我使用一个OUT参数是因为它更优雅,并且语法更短。RETURN不需要final ,将自动返回OUT参数的值。
考虑@Chris 撰写的有关安全性的讲座以及手册中的“安全地编写安全定义函数”一章。在我的设计中,注射点是配方本身。
请仔细阅读有关安全方面的注意事项。本质上,您试图在函数中注入任意SQL。因此,您需要在具有严格限制的权限的用户下运行此程序。
创建一个用户并从中撤消所有权限。请勿在同一数据库中向public授予权限。
创建一个函数来评估表达式,进行创建security definer并将所有者更改为该受限用户。
预处理表达式,然后将其传递到上面创建的eval()函数。您可以根据需要在其他功能中执行此操作,
再次注意,这具有严重的安全隐患。
编辑:简短的示例代码(未经测试,但如果您遵循文档,应该可以使您到达那里):
CREATE OR REPLACE FUNCTION eval_numeric(text) returns numeric language plpgsql security definer immutable as
$$
declare retval numeric;
begin
execute $e$ SELECT ($1)::numeric$e$ into retval;
return retval;
end;
$$;
ALTER FUNCTION eval_numeric OWNER TO jailed_user;
CREATE OR REPLACE FUNCTION foo(expression text, a numeric, b numeric) returns numeric language sql immutable as $$
select eval(regexp_replace(regexp_replace($1, 'a', $2, 'g'), 'b', '$3', 'g'));
$$; -- can be security invoker, but eval needs to be jailed.CREATE FUNCTION foo(text) returns text IMMUTABLE LANGUAGE SQL SECURITY DEFINER AS $$...)中指定,也可以ALTER FUNCTION foo(text) SECURITY DEFINER
a+b存储在表中的文本类型列中,然后我有一个函数,foo(a int, b int,formula text)如果得到的公式是a + b,我如何使该函数实际执行a + b而不是我必须对所有可能的公式使用非常长的case语句,并在所有段中重复执行代码?
除了存储公式然后执行它(如Chris提到的那样,存在安全性问题)的一种替代方法是有一个单独的表formula_steps,该表基本上将包含变量和运算符以及执行它们的顺序。这将需要更多的工作,但会更加安全。该表可能如下所示:
公式步骤 ------------- Formula_Step_ID Formula_ID(FK,由代理商表引用) 输入_1 输入_2 运算符(如果不想直接存储运算符,也可以是允许的运算符表的ID) 顺序
另一个选择是使用一些第三方库/工具来评估数学表达式。这将使您的数据库不太容易受到SQL注入的攻击,但是现在您已经将可能的安全性问题转移到了外部工具(这仍然很安全)。
最后的选择是编写(或下载)评估数学表达式的过程。有解决此问题的已知算法,因此在网上查找信息应该不难。