PostgreSQL Dynamic SQL & Quote_ident Gotchas

最新推荐文章于 2023-08-28 13:41:52 发布
最新推荐文章于 2023-08-28 13:41:52 发布
阅读量187 收藏
点赞数
文章标签: 数据库

PostgreSQL provides two useful functions to aid in the safe development of dynamic SQL:
quote_ident
The quote_ident function accepts and returns a text type. Whatever text you pass into quote_ident will be suitably escaped such that you could safely use it as an identifier within a dynamic SQL statement.

According to the documentation, you should always pass table and column identifiers into the quote_ident function for safety. Calling quote_ident('mytable') will return mytable, however calling quote_ident('MyTable') would return "MyTable".

quote_literal
The quote_literal function accepts and returns a text type. Whatever text you pass into the quote_literal function will be escaped so that you can safely use them in dynamic SQL.

You should always pass values or literals into the quote_literal function. By doing so, all special characters such as quotes will be safely dealt with. Calling quote_literal('mycolumn') would return 'mycolumn' whilst quote_literal('my'column') would return 'my''column'.

[@more@]Both of these functions work a treat, however there is a caveat with the quote_ident function which isn’t well documented. When creating objects in PostgreSQL, they object names are automatically lowercased unless you create the object using double quotes. As a simple example:
  1. CREATE TABLE MyTable (id integer, name varchar); would result in an object mytable being created.
  2. CREATE TABLE "MyTable" (id integer, name varchar); would result in an object MyTable being created; note the casing.

Now lets assume you wanted to create some dynamic SQL to fetch information out of the first example table above. If you issued quote_ident('mytable'), your dynamic SQL statement will execute because the value returned from quote_ident is lowercase which matches the table name. If you called quote_ident('MyTable'), your dynamic SQL statement will report an error stating that it cannot find the table or relation.

Creating dynamic SQL in PostgreSQL to fetch data out of the second example above, you would run into the reverse scenario. Issuing quote_ident('mytable') would produce an error, while quote_ident('MyTable') would execute without error.

If you create your database objects without using double quotes, then it’s important to remember to not pass capitalised parameters into quote_ident. The opposite is of course true as well, if you create your objects using double quotes then you must remember to pass in the same casing to quote_ident. If quote_ident applies double quotes (be it from capitised letters, spaces or special characters), the SQL engine within PostgreSQL will assume that an object exists with the explicit name matching the returned value of the quote_ident function.

来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/1697933/viewspace-897423/,如需转载,请注明出处,否则将追究法律责任。

转载于:http://blog.itpub.net/1697933/viewspace-897423/

cuiyun8241
关注
PostgreSQL的学习心得和知识总结(六十五)|关于PostgreSQL数据库 实现MySQL数据库find_in_set()函数 的实现方案
孤傲小二~阿沐的博客
03-21 4920
目录结构 注:提前言明 本文借鉴了以下博主、书籍或网站的内容,其列表如下: 1、参考书籍:《PostgreSQL数据库内核分析》 2、参考书籍:《数据库事务处理的艺术:事务管理与并发控制》 3、PostgreSQL数据库仓库链接,点击前往 4、日本著名PostgreSQL数据库专家 铃木启修 网站主页,点击前往 5、参考书籍:《PostgreSQL中文手册》 6、参考书籍:《PostgreSQL指南:内幕探索》,点击前往 7、参考书籍:《事务处理 概念与技术》 8、PostgreSQL数据库仓库链接,.
PostgreSQL11中实现动态SQL
qq_654603797
02-16 2273
动态SQL用于减少查询时的重复任务,通过允许有效的数据查询来简化数据库程序员的工作。 例如,可以使用动态SQL每天为某个表创建表分区,在所有外键上添加缺少的索引,或者向某个表添加数据审核功能,而不会产生主要的编码效果。 动态SQL的另一个重要用途是克服PL/pgSQL缓存的副作用,因为使用执行语句未缓存。 动态 SQL 是通过 EXECUTE 语句实现的。该 EXECUTE 语句接受一个字符串,并简单地计算它。执行语句的摘要如下: EXECUTE command-string [ INTO [ST
POSTGRESQL 字符串操作函数
anju2054的博客
08-04 768
函数:string || string  说明:String concatenation 字符串连接操作 例子:'Post' || 'greSQL' = PostgreSQL 函数:string || non-string or non-string || string 说明:String concatenation with one non-string input 字...
Postgresql】字符串操作函数
weixin_34217711的博客
08-14 861
函数:string || string  说明:String concatenation 字符串连接操作 例子:'Post' || 'greSQL' = PostgreSQL   函数:string || non-string or non-string || string 说明:String concatenation with one non-string input 字符串与非...
postgresql之存储过程
youzi85的博客
12-22 7058
WINDOW} ...由官方文档得到的定义一个函数的语法,当然现实中不需要所有的要素都要定义到。现在就常用的要素做出解释。CREATE FUNCTION定义一个新函数。CREATE OR REPLACE FUNCTION将创建一个新函数或者替换一个现有的函数name:表示要创建的函数名argmode:一个参数的模式:IN、OUT、INOUT或者VARIADIC。如果省略,默认为IN。只有OUT参数能跟在一个VARIADIC参数后面。
postgres操作指南
xiaoyi52的专栏
11-26 7162
安装使用 mac可以通过命令行用brew来安装或者直接下载安装包来安装,网上资料很多,这里就不介绍了。 如果通过brew来安装的,可以通过brew services start/stop postgres来开启或停止。 还有一种方法是通过docker来跑,这里以mac桌面版为例,创建启动脚本pg-docker-compose.yml: # Use postgres/example user/password credentials version: '3.1' services: pgsql:
Postgresql中的类型转换&&pg_cast.md
HII mate , It's Frank ~
07-10 8524
github首发: https://github.com/TheFrancisHe/Postgresql/blob/master/Postgresql%E4%B8%AD%E7%9A%84%E7%B1%BB%E5%9E%8B%E8%BD%AC%E6%8D%A2%26%26pg_cast.md Postgres 关于 pg_cast 中的介绍: https://www.postgresql.org/d
postgresql使用UUID函数gen_random_uuid()
liao411280543的博客
04-08 5162
postgresql13中内置了函数gen_random_uuid() create extension “pgcrypto” select gen_random_uuid() select * from pg_extension; select * from pg_available_extensions; pgcrypto.control
PostgreSQLSQL调优指南.pptx
08-08
PostgreSQLSQL调优指南 PostgreSQLSQL调优指南是一份详细的SQL优化指南,旨在帮助开发者和数据库管理员提高PostgreSQL数据库的性能。该指南涵盖了从获取SQL收集统计信息到分析SQL慢的原因的所有步骤。 首先,...
PostgreSQL之Array_to_String用法
阿毅
04-22 3万+
开心一笑写作课要求:在课堂上写一篇简短故事,要包括宗教、皇室、性与神秘四个成分。那些羽毛未丰的作家下课时才把故事写完,但是有个学生很快就写好了:“我的上帝,女王怀孕了!谁的杰作?”提出问题PostgreSQL中arry_to_string如何使用解决问题数据准备 创建表ay_tree_test:CREATE TABLE ay_tree_test ( id character varying(
Postgresql数据库的一些字符串操作函数
爱工作,爱生活
11-05 751
  今天做项目遇到客户反映了一个麻烦的事情,有一些数据存在,但就是在程序中搜索不出来,后来分析,发现问题为数据前面有几个空白字符,后来用SQL查询了一下,发现八九个数据表中,数千万条数据中有将近三百万条数据存在相同的问题,本想着在查询时添加匹配符'%',后来试运行了一下,发现不可行,因为尚有很多其它页面存在类似的搜索问题,并且这样会极大地影响到查询的速度,再加上客户迫切需要解决这个问题,由于在白天...
postgresql 字符串函数和操作符
zxw986的专栏
04-10 1005
字符串函数和操作符 本节描述了用于检查和操作字符串值的函数和操作符。在这个环境中的串包括所有类型character、character varying和text的值。除非另外说明,所有下面列出的函数都可以处理这些类型,不过要小心的是,在使用character类型的时候, 它有自动填充空白的潜在影响。有些函数还可以处理位串类型。 SQL定义了一些字符串函数,它们使用关键字,而不是逗号来分隔参数。...
Postgresql动态SQL
HighGO
03-26 7887
PostgreSQL支持动态SQL,以PL/Pgsql为例,语法如下:EXECUTE command-string [ INTO [STRICT] target ] [ USING expression [, ... ] ];上式中的可选项target表示a record variable, a row variable, or a comma-separated list of simple v...
PGsql学习笔记:函数和操作符(二)
最新发布
Code1s
08-28 344
将bytes的子字符串替换为newsubstring,该子字符串从start字节开始,并以count字节扩展。从start字节开始提取bytes的子字符串,并扩展为count字节,如果这是指定的。提取string从start字符开始的子字符串,并扩展count字符,如果指定了的话。如果已指定,提取string从start字符开始的子串, 并且在count字符后停止。提取bytes从start字节开始的子字符串,如果指定了,并且在count字节之后停止,如果指定了的话。返回参数的第一个字符的数字代码。
PostgreSql的基本用法
lksdove的博客
01-21 3398
PostgreSql的基本用法 日期转字符串特定格式 to_char(inputtime,'yyyy-MM-dd') as 别名 2.sql转义 比如 < <![CDATA[]]> 3.取第一个不为空的字段 COALESCE("","") as "别名" 4.pgsql显示一个月的日期: select to_char(tt.day, 'yyyy-mm-dd') as d...
pgsql字符串函数
热门推荐
一名普通码农的菜地
06-05 3万+
PostgreSQL 8.1 中文文档 Prev Fast Backward Chapter 9. 函数和操作符 Fast Forward Next 9.4. 字符串函数和操作符 本节描述了用于检查和操作字符串数值的函数和操作符。 在这个环境中的字串包括所有类型 character, character varying,和 text 的值。除非另外说明
PL/PgSQL基本语句
朝着梦想 渐行前进
05-12 4170
PL/PgSQL postgresql
PL/Pgsql 常用字符串函数
TechRunner
11-14 4459
PostgreSQL 常用字符串加工函数
Python PostgreSQL驱动soda_sql_postgresql安装指南
资源摘要信息: 本资源是一份Python库文件,具体名称为"soda_sql_postgresql-2.1.3-py3-none-any.whl"。这是一个专门为Python编程语言设计的软件包,用于提供与PostgreSQL数据库交互的能力。该资源属于Python库类别,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值