带有 pg-promise 的多行插入
Multi-row insert with pg-promise
我想用单个 INSERT
查询插入多行,例如:
INSERT INTO tmp(col_a,col_b) VALUES('a1','b1'),('a2','b2')...
有没有办法轻松做到这一点,最好是针对像这样的对象数组:
[{col_a:'a1',col_b:'b1'},{col_a:'a2',col_b:'b2'}]
我最终可能会在一个块中包含 500 条记录,因此 运行 多个查询是不可取的。
到目前为止,我只能对单个对象执行此操作:
INSERT INTO tmp(col_a,col_b) VALUES(${col_a},${col_b})
作为附带问题:使用 ${}
符号的插入是否可以防止 SQL 注入?
我是 pg-promise 的作者。
在旧版本的库中,Performance Boost 文章中的简化示例对此进行了介绍,在编写高性能数据库应用程序时仍然是一本不错的读物。
较新的方法是依赖 helpers namespace,它最终是灵活的,并且针对性能进行了优化。
const pgp = require('pg-promise')({
/* initialization options */
capSQL: true // capitalize all generated SQL
});
const db = pgp(/*connection*/);
// our set of columns, to be created only once (statically), and then reused,
// to let it cache up its formatting templates for high performance:
const cs = new pgp.helpers.ColumnSet(['col_a', 'col_b'], {table: 'tmp'});
// data input values:
const values = [{col_a: 'a1', col_b: 'b1'}, {col_a: 'a2', col_b: 'b2'}];
// generating a multi-row insert query:
const query = pgp.helpers.insert(values, cs);
//=> INSERT INTO "tmp"("col_a","col_b") VALUES('a1','b1'),('a2','b2')
// executing the query:
await db.none(query);
这样的插入甚至不需要事务,因为如果一组值插入失败,none 将插入。
并且您可以使用相同的方法生成以下任何查询:
- 单行
INSERT
- 多行
INSERT
- 单行
UPDATE
- 多行
UPDATE
Are insertions using ${} notation protected against sql injection?
是的,但并不孤单。如果您要动态插入 schema/table/column 名称,使用 SQL Names 很重要,这将保护您的代码免受 SQL 注入。
相关问题:
额外内容
问:如何同时获取每条新记录的id
?
A: 只需将 RETURNING id
附加到您的查询,然后使用方法 many:
执行它
const query = pgp.helpers.insert(values, cs) + ' RETURNING id';
const res = await db.many(query);
//=> [{id: 1}, {id: 2}, ...]
甚至更好,获取 id-s,并将结果转换为整数数组,使用方法 map:
const res = await db.map(query, undefined, a => +a.id);
//=> [1, 2, ...]
要了解我们为什么在那里使用 +
,请参阅:。
UPDATE-1
要插入大量记录,请参见Data Imports。
UPDATE-2
使用v8.2.1及之后的版本,可以将静态query-generation封装成一个函数,这样就可以在query方法中生成,当query生成失败时拒绝:
// generating a multi-row insert query inside a function:
const query = () => pgp.helpers.insert(values, cs);
//=> INSERT INTO "tmp"("col_a","col_b") VALUES('a1','b1'),('a2','b2')
// executing the query as a function that generates the query:
await db.none(query);
尝试 https://github.com/datalanche/node-pg-format - 例如
var format = require('pg-format');
var myNestedArray = [['a', 1], ['b', 2]];
var sql = format('INSERT INTO t (name, age) VALUES %L', myNestedArray);
console.log(sql); // INSERT INTO t (name, age) VALUES ('a', '1'), ('b', '2')
对象数组的工作方式类似。
我想用单个 INSERT
查询插入多行,例如:
INSERT INTO tmp(col_a,col_b) VALUES('a1','b1'),('a2','b2')...
有没有办法轻松做到这一点,最好是针对像这样的对象数组:
[{col_a:'a1',col_b:'b1'},{col_a:'a2',col_b:'b2'}]
我最终可能会在一个块中包含 500 条记录,因此 运行 多个查询是不可取的。
到目前为止,我只能对单个对象执行此操作:
INSERT INTO tmp(col_a,col_b) VALUES(${col_a},${col_b})
作为附带问题:使用 ${}
符号的插入是否可以防止 SQL 注入?
我是 pg-promise 的作者。
在旧版本的库中,Performance Boost 文章中的简化示例对此进行了介绍,在编写高性能数据库应用程序时仍然是一本不错的读物。
较新的方法是依赖 helpers namespace,它最终是灵活的,并且针对性能进行了优化。
const pgp = require('pg-promise')({
/* initialization options */
capSQL: true // capitalize all generated SQL
});
const db = pgp(/*connection*/);
// our set of columns, to be created only once (statically), and then reused,
// to let it cache up its formatting templates for high performance:
const cs = new pgp.helpers.ColumnSet(['col_a', 'col_b'], {table: 'tmp'});
// data input values:
const values = [{col_a: 'a1', col_b: 'b1'}, {col_a: 'a2', col_b: 'b2'}];
// generating a multi-row insert query:
const query = pgp.helpers.insert(values, cs);
//=> INSERT INTO "tmp"("col_a","col_b") VALUES('a1','b1'),('a2','b2')
// executing the query:
await db.none(query);
这样的插入甚至不需要事务,因为如果一组值插入失败,none 将插入。
并且您可以使用相同的方法生成以下任何查询:
- 单行
INSERT
- 多行
INSERT
- 单行
UPDATE
- 多行
UPDATE
Are insertions using ${} notation protected against sql injection?
是的,但并不孤单。如果您要动态插入 schema/table/column 名称,使用 SQL Names 很重要,这将保护您的代码免受 SQL 注入。
相关问题:
额外内容
问:如何同时获取每条新记录的id
?
A: 只需将 RETURNING id
附加到您的查询,然后使用方法 many:
const query = pgp.helpers.insert(values, cs) + ' RETURNING id';
const res = await db.many(query);
//=> [{id: 1}, {id: 2}, ...]
甚至更好,获取 id-s,并将结果转换为整数数组,使用方法 map:
const res = await db.map(query, undefined, a => +a.id);
//=> [1, 2, ...]
要了解我们为什么在那里使用 +
,请参阅:
UPDATE-1
要插入大量记录,请参见Data Imports。
UPDATE-2
使用v8.2.1及之后的版本,可以将静态query-generation封装成一个函数,这样就可以在query方法中生成,当query生成失败时拒绝:
// generating a multi-row insert query inside a function:
const query = () => pgp.helpers.insert(values, cs);
//=> INSERT INTO "tmp"("col_a","col_b") VALUES('a1','b1'),('a2','b2')
// executing the query as a function that generates the query:
await db.none(query);
尝试 https://github.com/datalanche/node-pg-format - 例如
var format = require('pg-format');
var myNestedArray = [['a', 1], ['b', 2]];
var sql = format('INSERT INTO t (name, age) VALUES %L', myNestedArray);
console.log(sql); // INSERT INTO t (name, age) VALUES ('a', '1'), ('b', '2')
对象数组的工作方式类似。