scala – 是否可以在普通sql中使用IN子句Slick for integers?
发布时间:2020-12-16 08:49:29 所属栏目:安全 来源:网络整理
导读:这里有一个类似的问题,但实际上并没有回答这个问题. Is it possible to use IN clause in plain sql Slick? 请注意,这实际上是更大和更复杂的查询的一部分,所以我确实需要使用普通的sql而不是光滑的提升嵌入.像下面这样的东西会很好: val ids = List(2,4,9)
这里有一个类似的问题,但实际上并没有回答这个问题.
Is it possible to use IN clause in plain sql Slick? 请注意,这实际上是更大和更复杂的查询的一部分,所以我确实需要使用普通的sql而不是光滑的提升嵌入.像下面这样的东西会很好: val ids = List(2,4,9) sql"SELECT * FROM coffee WHERE id IN ($ids)" 解决方法
sql前缀解锁StringContext,您可以在其中设置SQL参数.列表没有SQL参数,因此如果您不小心,可以轻松地在此处打开自己的SQL注入.关于在
this question上使用SQLServer处理此问题有一些好的(以及一些危险的)建议.您有几个选择:
您最好的选择可能是使用 val sql = sql"""SELECT * FROM coffee WHERE id IN (#${ids.mkString(",")})""" 这没有正确使用参数,因此可能对SQL注入和其他问题持开放态度. 另一种选择是使用常规字符串插值和mkString来构建语句: val query = s"""SELECT * FROM coffee WHERE id IN (${ids.mkString(",")})""" StaticQuery.queryNA[Coffee](query) 这与使用#$的方法基本相同,但在一般情况下可能更灵活. 如果SQL注入漏洞是一个主要问题(例如,如果用户提供了id的元素),则可以为每个id元素构建一个带有参数的查询.然后,您需要提供一个自定义SetParameter实例,以便光滑可以将List转换为参数: implicit val setStringListParameter = new SetParameter[List[String]]{ def apply(v1: List[String],v2: PositionedParameters): Unit = { v1.foreach(v2.setString) } } val idsInClause = List.fill(ids.length)("?").mkString("(",",")") val query = s"""SELECT * FROM coffee WHERE id IN ($idsInClause)""" Q.query[List[String],String](query).apply(ids).list(s) 由于你的id是Ints,这可能不是一个问题,但如果你更喜欢这个方法,你只需要改变setStringListParameter来使用Int而不是String: (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |