scala – 是否可以在普通sql中使用IN子句Slick for integers？

val ids = List(2,4,9)
sql"SELECT * FROM coffee WHERE id IN ($ids)"

sql前缀解锁StringContext,您可以在其中设置SQL参数.列表没有SQL参数,因此如果您不小心,可以轻松地在此处打开自己的SQL注入.关于在 this question上使用SQLServer处理此问题有一些好的(以及一些危险的)建议.您有几个选择：

您最好的选择可能是使用#$运算符和mkString来插入动态SQL：

val sql = sql"""SELECT * FROM coffee WHERE id IN (#${ids.mkString(",")})"""

这没有正确使用参数,因此可能对SQL注入和其他问题持开放态度.

另一种选择是使用常规字符串插值和mkString来构建语句：

val query = s"""SELECT * FROM coffee WHERE id IN (${ids.mkString(",")})"""
StaticQuery.queryNA[Coffee](query)

这与使用#$的方法基本相同,但在一般情况下可能更灵活.

如果SQL注入漏洞是一个主要问题(例如,如果用户提供了id的元素),则可以为每个id元素构建一个带有参数的查询.然后,您需要提供一个自定义SetParameter实例,以便光滑可以将List转换为参数：

implicit val setStringListParameter = new SetParameter[List[String]]{
    def apply(v1: List[String],v2: PositionedParameters): Unit = {
        v1.foreach(v2.setString)
    }
}

val idsInClause = List.fill(ids.length)("?").mkString("(",",")")
val query = s"""SELECT * FROM coffee WHERE id IN ($idsInClause)"""
Q.query[List[String],String](query).apply(ids).list(s)

由于你的id是Ints,这可能不是一个问题,但如果你更喜欢这个方法,你只需要改变setStringListParameter来使用Int而不是String：