我尝试动态创建视图。
在我的例子中,它是 EAV 样式表上的枢轴视图。
假设一个包含两个属性的表,我使用这样的语句,在触发器函数内执行(用 PL/Python 编写):
CREATE OR REPLACE VIEW pivot_eav AS
SELECT ct.id,
ct.attr1,
ct.attr2
FROM crosstab(
'
SELECT entity, attribute, value
FROM eav_table
ORDER BY 1
'::text,
'
VALUES (''attr1''), (''attr2'')
'::text
)
AS ct(id text,
attr1 text,
attr2 text
);
但是现在我不知道创建时这两个属性的名称。我将不得不在运行时插入它们。我可以即时构建语句并执行它。实际上这就是我现在所做的:
"""
CREATE OR REPLACE VIEW pivot_eav AS
SELECT ct.id,
ct.attr1,
ct.attr2
FROM crosstab(
'
SELECT entity, attribute, value
FROM eav_table
ORDER BY 1
'::text,
'
VALUES (''{0}''), (''{1}'')
'::text
)
AS ct(id text,
{0} text,
{1} text
);
""".format("attr1", "attr2")
但我知道这是非常不安全的,因为输入已执行。
我尝试使用这样的准备好的语句:
CREATE OR REPLACE VIEW pivot_eav AS
SELECT ct.id,
ct.attr1,
ct.attr2
FROM crosstab(
'
SELECT entity, attribute, value
FROM eav_table
ORDER BY 1
'::text,
'
VALUES (''$1''), (''$2'')
'::text
)
AS ct(id text,
$1 text,
$2 text
);
这似乎不合法。
我能够通过使用美元符号转义来绕过第一个占位符,但在这些位置上第二次出现似乎仍然不合法!?
我也无法在那个地方使用美元转义,因为名称在那里用作文字。
我的问题:
是否正确,准备好的语句中的占位符只有特殊用途?(并且可以在任意位置使用,例如编程语言中的字符串插值。)
如果是这样,是否有另一种安全的方法来将该语句放在一起?
罗宾
无法准备 DDL 查询,包括 CREATE 语句。
此外,即使在可以准备的 DML 查询中,参数也不能用于标识符。它们被允许出现在查询中允许使用文字的地方。
作为替代方案,您可以使用 PL/Python 为动态 SQL 提供的专用函数安全地将列名注入查询
plpy.quote_ident(string)
:https://www.postgresql.org/docs/current/static/plpython-util.html