node-postgres：如何执行“ WHERE col IN（<动态值列表>）”查询？

Question 1

我正在尝试执行这样的查询：

SELECT * FROM table WHERE id IN (1,2,3,4)

问题是我要过滤的ID列表不是恒定的，并且每次执行时都必须不同。我还需要转义这些id，因为它们可能来自不受信任的来源，尽管我实际上将转义查询中的所有内容，而不管该来源的可信度如何。

节点的Postgres似乎与绑定参数专门工作：client.query('SELECT * FROM table WHERE id = $1', [ id ]); 如果我具有已知数量的值（client.query('SELECT * FROM table WHERE id IN ($1, $2, $3)', [ id1, id2, id3 ])），这将起作用，但不能直接用于数组：client.query('SELECT * FROM table WHERE id IN ($1)', [ arrayOfIds ])，因为似乎没有对数组参数的任何特殊处理。

根据数组中的项数动态构建查询模板，并将ids数组扩展为查询参数数组（在我的实际情况下，该数组除id列表外还包含其他参数）似乎是不合理的负担。硬编码查询模板中的ID列表似乎也不可行，因为node-postgres不提供任何值转义方法。

这似乎是一个非常常见的用例，所以我的猜测是我实际上正在忽略某些东西，而不是不可能将公共IN (values)SQL运算符与node-postgres一起使用。

如果有人以比我上面列出的方法更优雅的方式解决了这个问题，或者如果我真的缺少有关node-postgres的知识，请提供帮助。

Question 2

我们之前在github问题列表上已经看到了这个问题。正确的方法是根据数组动态生成参数列表。像这样：

var arr = [1, 2, "hello"];
var params = [];
for(var i = 1; i <= arr.length; i++) {
  params.push('$' + i);
}
var queryText = 'SELECT id FROM my_table WHERE something IN (' + params.join(',') + ')';
client.query(queryText, arr, function(err, cb) {
 ...
});

这样，您就可以将postgres参数化转义。

Question 3

根据您对@ebohlman的回答的评论，您似乎已经关闭了。您可以使用WHERE id = ANY($1::int[])。PostgreSQL将转换数组为参数为in的类型$1::int[]。因此，这是一个适合我的示例：

var ids = [1,3,4]; 

var q = client.query('SELECT Id FROM MyTable WHERE Id = ANY($1::int[])',[ids]);

q.on('row', function(row) {
  console.log(row);
})

// outputs: { id: 1 }
//          { id: 3 }
//          { id: 4 }

Question 4

我发现最好的解决方案是将ANY函数与Postgres的数组强制一起使用。这样一来，您就可以将一列具有任意值的数组进行匹配，就好像您已经写了出来一样col IN (v1, v2, v3)。这是pero回答中的方法，但在这里我证明的性能ANY与相同IN。

询问

您的查询应类似于：

SELECT * FROM table WHERE id = ANY($1::int[])

末尾的那个位$1::int[]可以更改以匹配您的“ id”列的类型。例如，如果ID的类型为uuid，则您可以编写$1::uuid[]将参数强制转换为UUID数组。有关Postgres数据类型的列表，请参见此处。

这比编写代码来构造查询字符串要简单，并且可以安全地防止SQL注入。

例

使用node-postgres，完整的JavaScript示例如下所示：

var pg = require('pg');

var client = new pg.Client('postgres://username:password@localhost/database');
client.connect(function(err) {
  if (err) {
    throw err;
  }

  var ids = [23, 65, 73, 99, 102];
  client.query(
    'SELECT * FROM table WHERE id = ANY($1::int[])',
    [ids],  // array of query arguments
    function(err, result) {
      console.log(result.rows);
    }
  );
});

性能

了解SQL查询性能的最好方法之一就是查看数据库如何处理它。该样本表大约有400行，还有一个名为type的主键“ id” text。

EXPLAIN SELECT * FROM tests WHERE id = ANY('{"test-a", "test-b"}');
EXPLAIN SELECT * FROM tests WHERE id IN ('test-a', 'test-b');

在这两种情况下，Postgres都报告了相同的查询计划：

Bitmap Heap Scan on tests  (cost=8.56..14.03 rows=2 width=79)
  Recheck Cond: (id = ANY ('{test-a,test-b}'::text[]))
  ->  Bitmap Index Scan on tests_pkey  (cost=0.00..8.56 rows=2 width=0)
        Index Cond: (id = ANY ('{test-a,test-b}'::text[]))

您可能会看到不同的查询计划，具体取决于表的大小，有索引的位置以及查询。但对于查询像以上这样的，ANY和IN被处理的方式相同。

Question 5

使用pg-promise，这可以通过CSV过滤器（以逗号分隔的值）很好地工作：

const values = [1, 2, 3, 4];

db.any('SELECT * FROM table WHERE id IN ($1:csv)', [values])
    .then(data => {
        console.log(data);
    })
    .catch(error => {
        console.log(error);
    });

为了解决对各种数据类型的担忧，:csv修饰符将数组序列化为csv，同时根据其JavaScript类型将所有值转换为适当的PostgreSQL格式，甚至支持“自定义类型格式”。

而且，如果您有如下混合类型的值：const values = [1, 'two', null, true]，您仍然会得到正确转义的SQL：

SELECT * FROM table WHERE id IN (1, 'two', null, true)

更新

从v7.5.1开始，pg-promise开始支持:list作为:csv过滤器的可互换别名：

db.any('SELECT * FROM table WHERE id IN ($1:list)', [values])

Question 6

另一个可能的解决方案是使用如下UNNEST函数：

 var ids = [23, 65, 73, 99, 102];
 var strs = ['bar', 'tar', 'far']
 client.query(
   'SELECT * FROM table WHERE id IN(SELECT(UNNEST($1))',
    [ids],  // array of query arguments
    function(err, result) {
       console.log(result.rows);
    }
);
client.query(
   'SELECT * FROM table WHERE id IN(SELECT(UNNEST($1))',
    [strs],  // array of query arguments
    function(err, result) {
       console.log(result.rows);
    }
);

我已经在存储过程中使用了它，并且效果很好。相信它也可以在node-pg代码中使用。

您可以在此处阅读有关UNNEST函数的信息。

Question 7

另一个可行的解决方案例如是NODE JS中的REST API：

var name = req.body;//Body is a objetc that has properties for example provinces
var databaseRB = "DATABASENAME"
var conStringRB = "postgres://"+username+":"+password+"@"+host+"/"+databaseRB; 

var filter_query = "SELECT row_to_json(fc) FROM ( SELECT 'FeatureCollection' As type, array_to_json(array_agg(f)) As features FROM (SELECT 'Feature' As type, ST_AsGeoJSON(lg.geom)::json As geometry, row_to_json((parameters) As properties FROM radiobases As lg WHERE lg.parameter= ANY($1) )As f) As fc";

var client = new pg.Client(conStringRB);
client.connect();
var query = client.query(new Query(filter_query,[name.provinces]));
query.on("row", function (row, result) {
  result.addRow(row);
});
query.on("end", function (result) {
 var data = result.rows[0].row_to_json
   res.json({
     title: "Express API",
     jsonData: data
     });
});

请记住，可以使用任何类型的数组

Question 8

这个想法通常是：

var invals = [1,2,3,4], cols = [...fields];
var setvs = vs => vs.map(v=> '$'+ (values.push(v))  ).join();

var values = [];
var text = 'SELECT '+ setvs(cols) +' FROM table WHERE id IN (' + setvs(invals) +')';