2

我正在尝试编写打开带有动态列名的游标的函数。我担心这里有明显的 SQL 注入可能性。我很高兴在精美的手册中看到这很容易做到,但是当我在我的示例中尝试时,它出错了

错误:列不存在。

我目前的尝试可以浓缩成这个 SQL Fiddle。下面,我展示了这个小提琴的格式化代码。

函数的目标tst()是能够计算常量查询的任何给定列中值的不同出现次数。

我要求提示我做错了什么,或者以安全的方式实现相同目标的其他方法。

    CREATE TABLE t1 (
        f1 character varying not null,
        f2 character varying not null
    );
    CREATE TABLE t2 (
        f1 character varying not null,
        f2 character varying not null
    );
    INSERT INTO t1 (f1,f2) VALUES ('a1','b1'), ('a2','b2');
    INSERT INTO t2 (f1,f2) VALUES ('a1','c1'), ('a2','c2');

    CREATE OR REPLACE FUNCTION tst(p_field character varying)
        RETURNS INTEGER AS
    $BODY$ 
    DECLARE 
        v_r record; 
        v_cur refcursor; 
        v_sql character varying := 'SELECT count(DISTINCT(%I)) as qty 
                                    FROM t1 LEFT JOIN t2 ON (t1.f1=t2.f1)'; 
    BEGIN  
        OPEN v_cur FOR EXECUTE format(v_sql,lower(p_field)); 
        FETCH v_cur INTO v_r; 
        CLOSE v_cur; 
        return v_r.qty; 
    END; 
    $BODY$ 
    LANGUAGE plpgsql;

测试执行:

SELECT tst('t1.f1')

提供错误信息:

ERROR: column "t1.f1" does not exist
Hint: PL/pgSQL function tst(character varying) line 1 at OPEN
4

1 回答 1

2

这会起作用:

SELECT tst('f1');

您面临的问题:format()将连接的参数解释%I一个标识符。您正在尝试传递由两个标识符组成的表限定列名,该标识符被解释为"t1.f1"(一个名称,双引号以保留名称中的其他非法点。

如果要传递表名列名,请使用两个参数

CREATE OR REPLACE FUNCTION tst2(_col text, _tbl text = NULL)
  RETURNS int AS
$func$
DECLARE
   v_r record;
   v_cur refcursor;
   v_sql text := 'SELECT count(DISTINCT %s) AS qty
                  FROM t1 LEFT JOIN t2 USING (f1)';
BEGIN
   OPEN v_cur FOR EXECUTE
      format(v_sql, CASE WHEN _tbl <> ''  -- rule out NULL and ''
                         THEN quote_ident(lower(_tbl)) || '.' ||
                              quote_ident(lower(_col))
                         ELSE quote_ident(lower(_col)) END);
   FETCH v_cur INTO v_r;
   CLOSE v_cur;
   RETURN v_r.qty;
END
$func$ LANGUAGE plpgsql;

旁白:它是DISTINCT f1- 列名周围没有括号,除非您想将其设为行类型。

实际上,您根本不需要光标。更快,更简单:

CREATE OR REPLACE FUNCTION tst3(_col text, _tbl text = NULL, OUT ct bigint) AS
$func$
BEGIN
   EXECUTE format('SELECT count(DISTINCT %s) AS qty
                   FROM t1 LEFT JOIN t2 USING (f1)'
                 , CASE WHEN _tbl <> ''  -- rule out NULL and ''
                        THEN quote_ident(lower(_tbl)) || '.' ||
                             quote_ident(lower(_col))
                        ELSE quote_ident(lower(_col)) END)
   INTO ct;
   RETURN;
END
$func$ LANGUAGE plpgsql;

为方便起见,我提供NULL参数默认值。这样,您可以仅使用列名或使用列名和表名调用该函数。但不是没有列名。

称呼:

SELECT tst3('f1', 't1');
SELECT tst3('f1');
SELECT tst3(_col := 'f1');

与 相同test2()

SQL小提琴。

相关答案:

于 2015-05-12T19:55:28.487 回答