个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
25
4
上周我给自己写了一个客户端数据透视表生成器。屏幕上包括表和 View 的列表。在此过程中,我发现估计选定表或 View 中的行数很有帮助。事实证明,估计表数很容易,但我不知道如何估计 View 中的行数。今天,我在读书
Laurenz Albe 的博文以这段巧妙的文章结尾:
CREATE FUNCTION row_estimator(query text) RETURNS bigint
LANGUAGE plpgsql AS
$$DECLARE
plan jsonb;
BEGIN
EXECUTE 'EXPLAIN (FORMAT JSON) ' || query INTO plan;
RETURN (plan->0->'Plan'->>'Plan Rows')::bigint;
END;$$;
那个。是。好的。我意识到这可以用作 View 估算器,所以我写了一个函数(阅读“hacked together”):
DROP FUNCTION IF EXISTS api.view_count_estimate (text, text);
CREATE OR REPLACE FUNCTION api.view_count_estimate (
schema_name text,
view_name text)
RETURNS BIGINT
AS $$
DECLARE
plan jsonb;
query text;
BEGIN
EXECUTE
'select definition
from pg_views
where schemaname = $1 and
viewname = $2'
USING schema_name,view_name
INTO query;
EXECUTE
'EXPLAIN (FORMAT JSON) ' || query
INTO plan;
RETURN (plan->0->'Plan'->>'Plan Rows')::bigint;
END;
$$ LANGUAGE plpgsql;
ALTER FUNCTION api.view_count_estimate(text, text) OWNER TO user_change_structure;
这让我想到了在 Postgres 中我有点紧张的领域之一:安全地创建动态 SQL。我不太清楚魔术 regclass 铸件,或者我是否应该使用上面的 quote_ident() 之类的东西。使用 USING 列表构建的 SQL 是否安全?我不明白怎么可能。
我正在使用 Postgres 11.4.x。
最佳答案
正如 Laurenz 所说,您当前的代码是绝对安全的,但考虑到如今围绕 SQL 注入(inject)的大量偏执,它值得详细说明。
考虑一下你的函数的原始版本:
CREATE FUNCTION api.view_count_estimate(schema_name text, view_name text) RETURNS BIGINT
AS $$
DECLARE result BIGINT;
BEGIN
EXECUTE 'SELECT COUNT(*) FROM ' || schema_name || '.' || view_name INTO result;
RETURN result;
END
$$ LANGUAGE plpgsql;
这显然对 SQL 注入(inject)是开放的,但可以通过多种方式轻松保护。最直接的方法是使用 quote_ident():
EXECUTE 'SELECT COUNT(*) FROM ' || quote_ident(schema_name) || '.' || quote_ident(view_name)
INTO result;
这保证了连接的字符串在语法上是有效的 identifiers , 如果它们包含任何符号、空格或大写字符,则将它们加双引号,这样用户输入就没有被解释为不需要的 SQL 表达式或关键字的风险(尽管它有可能使您的函数输入大小写-敏感)。
quote_ident() 的一个更简洁的替代方法是使用等效的 %I format specifier :
EXECUTE format('SELECT COUNT(*) FROM %I.%I', schema_name, view_name) INTO result;
还有一个用于嵌入字符串文字的%L说明符,相当于quote_literal()函数。
更好的方法是通过 regclass 传递 View 引用参数:
CREATE FUNCTION api.view_count_estimate(view_id regclass) RETURNS BIGINT
AS $$
DECLARE result BIGINT;
BEGIN
EXECUTE 'SELECT COUNT(*) FROM ' || view_id::text INTO result;
RETURN result;
END
$$ LANGUAGE plpgsql;
regclass 类型背后的“魔法”实际上非常简单;该值本身只是 pg_class table 的整数主键, 它在大多数方面表现得像一个整数,但是 casts to 和 from 字符串值将查询 pg_class 以查找表的名称,遵循与 quote_ident() 相同的引用规则并尊重当前的 schema search path .
换句话说,你可以调用这个函数
SELECT view_count_estimate('my_view')
或
SELECT view_count_estimate('"public"."my_view"')
或
SELECT view_count_estimate('public.My_View')
...并且 regclass 转换将像在查询中一样解析标识符(而函数内的 text 将引用/限定标识符作为需要)。
但是所有这些只有在您需要将标识符 替换到您的查询中时才有必要。如果您只需要将 values 替换到查询中(就像您的函数中的情况一样),那么参数化查询(例如 EXECUTE ... USING)是完全安全的。查询参数化不是简单的字符串替换;它在代码和数据之间保持清晰的分离(实际上,在甚至考虑参数值之前,解析整个 SQL 语句并解析所有标识符),因此不存在 SQL 注入(inject)的可能性。
事实上,由于本例中的所有变量都是简单的参数,所以根本不需要动态查询;您的函数可以直接运行查询,无需 EXECUTE:
SELECT definition
FROM pg_views
WHERE schemaname = schema_name
AND viewname = view_name
INTO query;
在幕后,PL/pgSQL 将构建完全相同的参数化查询(即 ...WHERE schemaname = $1 AND viewname = $2)并将参数绑定(bind)到您的函数输入。这种方法的额外好处只有 preparing第一次在 session 中调用该函数时查询,并在后续调用中重新绑定(bind)参数值。
实际上,在这种情况下您根本不需要查询。 pg_get_viewdef() function将返回给定 regclass 的 View 定义,因此整个事情可以简化为:
CREATE FUNCTION api.view_count_estimate(view_id regclass) RETURNS bigint
AS $$
DECLARE
plan jsonb;
BEGIN
EXECUTE 'EXPLAIN (FORMAT JSON) ' || pg_get_viewdef(view_id) INTO plan;
RETURN (plan->0->'Plan'->>'Plan Rows')::bigint;
END;
$$ LANGUAGE plpgsql;
关于sql - 安全地编写动态 SQL,使用在任何 View 中估计行的示例函数,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/57474839/
25
4
0
猫f1.txt阿曼维沙尔阿杰贾伊维杰拉胡尔曼尼什肖比特批评塔夫林现在输出应该符合上面给定的条件 最佳答案 您可以在文件读取循环中设置一个计数器并打印它, 计数=0 读取行时做 让我们数一数++ if
我正在尝试查找文件 1 和文件 2 中的共同行。如果公共(public)行存在,我想写入文件 2 中的行,否则打印文件 1 中的非公共(public)行。fin1 和 fin2 是这里的文件句柄。它读
我有这个 SQL 脚本: CREATE TABLE `table_1` ( `IDTable_1` int(11) NOT NULL, PRIMARY KEY (`IDTable_1`) );
我有 512 行要插入到数据库中。我想知道提交多个插入内容是否比提交一个大插入内容有任何优势。例如 1x 512 行插入 -- INSERT INTO mydb.mytable (id, phonen
如何从用户中选择user_id,SUB(row, row - 1),其中user_id=@userid我的表用户,id 为 1、3、4、10、11、23...(不是++) --id---------u
我曾尝试四处寻找解决此问题的最佳方法,但我找不到此类问题的任何先前示例。 我正在构建一个基于超本地化的互联网购物中心,该区域分为大约 3000 个区域。每个区域包含大约 300 个项目。它们是相似的项
preg_match('|phpVersion = (.*)\n|',$wampConfFileContents,$result); $phpVersion = str_replace('"','',
我正在尝试创建一个正则表达式,使用“搜索并替换全部”删除 200 个 txt 文件的第一行和最后 10 行 我尝试 (\s*^(\h*\S.*)){10} 删除包含的前 10 行空白,但效果不佳。 最
下面的代码从数据库中获取我需要的信息,但没有打印出所有信息。首先,我知道它从表中获取了所有正确的信息,因为我已经在 sql Developer 中尝试过查询。 public static void m
很难说出这里问的是什么。这个问题是含糊的、模糊的、不完整的、过于宽泛的或修辞性的,无法以目前的形式得到合理的回答。如需帮助澄清此问题以便重新打开它,visit the help center 。 已关
我试图在两个表中插入记录,但出现异常。您能帮我解决这个问题吗? 首先我尝试了下面的代码。 await _testRepository.InsertAsync(test); await _xyzRepo
这个基本的 bootstrap CSS 显示 1 行 4 列: Text Text Text
如果我想从表中检索前 10 行,我将使用以下代码: SELECT * FROM Persons LIMIT 10 我想知道的是如何检索前 10 个结果之后的 10 个结果。 如果我在下面执行这段代码,
今天我开始使用 JexcelApi 并遇到了这个:当您尝试从特定位置获取元素时,不是像您通常期望的那样使用sheet.getCell(row,col),而是使用sheet.getCell(col,ro
我正在尝试在我的网站上开发一个用户个人资料系统,其中包含用户之前发布的 3 个帖子。我可以让它选择前 3 条记录,但它只会显示其中一条。我是不是因为凌晨 2 点就想编码而变得愚蠢? query($q)
我在互联网上寻找答案,但找不到任何答案。 (我可能问错了?)我有一个看起来像这样的表: 我一直在使用查询: SELECT title, date, SUM(money) FROM payments W
我有以下查询,我想从数据库中获取 100 个项目,但 host_id 多次出现在 urls 表中,我想每个 host_id 从该表中最多获取 10 个唯一行。 select * from urls j
我的数据库表中有超过 500 行具有特定日期。 查询特定日期的行。 select * from msgtable where cdate='18/07/2012' 这将返回 500 行。 如何逐行查询
我想使用 sed 从某一行开始打印 n 行、跳过 n 行、打印 n 行等,直到文本文件结束。例如在第 4 行声明,打印 5-9,跳过 10-14,打印 15-19 等 来自文件 1 2 3 4 5 6
我目前正在执行验证过程来检查用户的旧密码,但问题是我无法理解为什么我的查询返回零行,而预期它有 1 行。另一件事是,即使我不将密码文本转换为 md5,哈希密码仍然得到正确的答案,但我不知道为什么会发生
我是一名优秀的程序员,十分优秀!