📌 前言
在使用 Knex.js 进行复杂 SQL 查询时,我们经常面临一个问题:如何既能保证 SQL 注入安全,又能灵活处理某些必须在编译时确定的参数?
本文将深入探讨 Knex.js raw() 方法中命名参数的使用技巧,特别是为什么某些参数必须使用模板字符串插值而不能使用命名参数绑定。
🎯 核心问题
在实际项目中,我们遇到了这样的场景:
// 时间粒度参数
const timeGrain = 'day' // 可能是 'day', 'week', 'month', 'year'
// SQL 查询
const sql = `
SELECT
date_trunc('${timeGrain}', record_date) AS period_time,
COUNT(DISTINCT order_id) AS cnt
FROM daily_records
GROUP BY date_trunc('${timeGrain}', record_date)
`
// 为什么 timeGrain 使用 ${} 而不是 :timeGrain ?
const result = await knex.raw(sql, {
startDate, // ✅ 使用命名参数
endDate, // ✅ 使用命名参数
// timeGrain // ❌ 不在参数对象中
})
疑问:为什么 timeGrain 不能像其他参数一样使用 :timeGrain 的命名参数方式传递?
📚 Knex.js 命名参数基础
1. 标准命名参数语法
Knex.js 支持命名参数绑定,语法如下:
// 方式一:使用 :paramName
const result = await knex.raw(`
SELECT * FROM users
WHERE name = :userName
AND age > :minAge
`, {
userName: 'John',
minAge: 18
})
// 方式二:使用 ? 占位符(位置参数)
const result = await knex.raw(`
SELECT * FROM users
WHERE name = ? AND age > ?
`, ['John', 18])
2. 命名参数的优势
| 特性 | 命名参数 | 位置参数 |
|---|---|---|
| 可读性 | ⭐⭐⭐⭐⭐ | ⭐⭐⭐ |
| SQL注入防护 | ✅ 自动转义 | ✅ 自动转义 |
| 参数复用 | ✅ 可重复使用 | ❌ 需要多次传递 |
| 维护性 | ⭐⭐⭐⭐⭐ | ⭐⭐⭐ |
参数复用示例:
// ✅ 命名参数可以在 SQL 中多次使用,只需传递一次
const sql = `
SELECT * FROM orders
WHERE start_date >= :startDate
AND end_date <= :endDate
AND created_at BETWEEN :startDate AND :endDate
`
await knex.raw(sql, {
startDate: '2025-01-01', // 在 SQL 中使用了 2 次
endDate: '2025-12-31' // 在 SQL 中使用了 2 次
})
// ❌ 位置参数需要传递多次
const sql2 = `
SELECT * FROM orders
WHERE start_date >= ?
AND end_date <= ?
AND created_at BETWEEN ? AND ?
`
await knex.raw(sql2, [
'2025-01-01', // 第1次
'2025-12-31', // 第1次
'2025-01-01', // 第2次 - 重复
'2025-12-31' // 第2次 - 重复
])
🔍 为什么某些参数不能使用命名参数?
核心原因:PostgreSQL 参数绑定的限制
PostgreSQL 的参数绑定(Prepared Statement)只能用于数据值,而不能用于:
- 表名和列名
- SQL 关键字
- 函数参数的常量部分(如
date_trunc()的第一个参数) - 数据类型名称
实际案例分析
❌ 错误写法:使用命名参数
const timeGrain = 'day'
// 这段 SQL 会报错!
const sql = `
SELECT date_trunc(:timeGrain, record_date) AS period_time
FROM daily_records
`
await knex.raw(sql, { timeGrain })
// PostgreSQL 错误:
// ERROR: function date_trunc(unknown, date) does not exist
// HINT: No function matches the given name and argument types.
错误原因:PostgreSQL 在解析 SQL 时,date_trunc() 的第一个参数必须是字符串常量,用于确定函数的重载版本。使用参数绑定会导致 PostgreSQL 无法在编译阶段确定函数签名。
✅ 正确写法:使用模板字符串插值
const timeGrain = 'day'
// ✅ 正确:使用 ES6 模板字符串
const sql = `
SELECT date_trunc('${timeGrain}', record_date) AS period_time
FROM daily_records
`
await knex.raw(sql) // 不需要传递 timeGrain 参数
// 实际执行的 SQL:
// SELECT date_trunc('day', record_date) AS period_time
// FROM daily_records
安全性考虑
疑问:使用 ${} 插值不是会有 SQL 注入风险吗?
答案:确实存在风险,但可以通过白名单验证来规避:
// ✅ 安全的做法:参数白名单验证
const allowedGrains = ['day', 'week', 'month', 'year']
let timeGrain = 'day'
if (_.includes(allowedGrains, dateType)) {
timeGrain = dateType
}
// timeGrain 只能是预定义的 4 个值之一,不存在注入风险
const sql = `
SELECT date_trunc('${timeGrain}', record_date) AS period_time
FROM daily_records
`
🎨 混合使用最佳实践
完整示例:复杂统计查询
/**
* 异常订单趋势统计
* @param {string} orderStatus - 订单状态:全部/进行中/已完成
* @param {string} startDate - 开始日期
* @param {string} endDate - 结束日期
* @param {string} dateType - 时间粒度:day/week/month/year
*/
async function getStatistics(data) {
const { orderStatus, startDate, endDate, dateType } = data
// 1️⃣ 参数白名单验证
let timeGrain = 'day'
if (_.includes(['day', 'week', 'month', 'year'], dateType)) {
timeGrain = dateType
}
// 2️⃣ SQL 模板:混合使用插值和命名参数
const sql = `
WITH filtered_orders AS (
SELECT o.id, o.start_date, o.end_date
FROM "public".orders o
WHERE o.deleted_at IS NULL
-- ✅ 动态条件:使用命名参数
AND CASE :orderStatus
WHEN '全部' THEN
(o.start_date, COALESCE(o.end_date, (:endDate || ' 23:59:59')::timestamp))
OVERLAPS ((:startDate || ' 00:00:00')::timestamp,
(:endDate || ' 23:59:59')::timestamp)
WHEN '进行中' THEN
o.end_date IS NULL
WHEN '已完成' THEN
o.end_date IS NOT NULL
AND CAST(o.end_date AS DATE) >= :startDate::DATE
AND CAST(o.end_date AS DATE) <= :endDate::DATE
ELSE FALSE
END
),
order_days AS (
SELECT
id AS order_id,
generate_series(
GREATEST(COALESCE(CAST(start_date AS DATE), :startDate::date),
:startDate::date),
LEAST(COALESCE(CAST(end_date AS DATE), :endDate::date),
:endDate::date),
'1 day'
)::date AS record_date
FROM filtered_orders
),
group_order_count AS (
-- ⚠️ 时间粒度:使用模板字符串插值
SELECT
date_trunc('${timeGrain}', record_date) AS period_time,
COUNT(DISTINCT order_id) AS cnt
FROM order_days
GROUP BY date_trunc('${timeGrain}', record_date)
)
SELECT
TO_CHAR(
period_time,
-- ⚠️ CASE 常量:使用模板字符串插值
CASE '${timeGrain}'
WHEN 'year' THEN 'YYYY'
WHEN 'month' THEN 'YYYY-MM'
WHEN 'week' THEN 'YYYY-MM 第W周'
ELSE 'YYYY-MM-DD'
END
) AS date_str,
cnt AS order_cnt
FROM group_order_count
ORDER BY period_time ASC
`
// 3️⃣ 执行查询:只传递命名参数
const result = await knex.raw(sql, {
orderStatus, // 订单状态
startDate, // 开始日期(在 SQL 中使用了 6 次)
endDate, // 结束日期(在 SQL 中使用了 6 次)
// 注意:timeGrain 不在参数对象中!
})
return result.rows
}
参数使用对照表
| 参数名 | 使用方式 | 原因 | SQL 中使用次数 |
|---|---|---|---|
orderStatus | :orderStatus 命名参数 | 数据值,可以参数绑定 | 1次 |
startDate | :startDate 命名参数 | 数据值,多次使用 | 6次 |
endDate | :endDate 命名参数 | 数据值,多次使用 | 6次 |
timeGrain | ${timeGrain} 模板插值 | 函数参数常量,必须编译时确定 | 4次 |
⚠️ 常见陷阱与注意事项
1. 数组参数的处理
// ❌ 错误:直接传递数组
const sql = `SELECT * FROM orders WHERE department_id = ANY(:departmentIds)`
await knex.raw(sql, { departmentIds: [1, 2, 3] })
// 错误:PostgreSQL 无法推断参数类型
// ✅ 方法一:转换为逗号分隔字符串
const departmentIdsParam = [1, 2, 3].join(',')
const sql = `
SELECT * FROM orders
WHERE department_id = ANY(string_to_array(:departmentIds, ',')::int[])
`
await knex.raw(sql, { departmentIds: departmentIdsParam })
// ✅ 方法二:使用模板字符串(需要白名单验证)
const departmentIdsArray = [1, 2, 3].map(id => _.toInteger(id)).filter(id => id > 0)
const sql = `SELECT * FROM orders WHERE department_id IN (${departmentIdsArray.join(',')})`
await knex.raw(sql)
2. 空值处理
// ⚠️ 传递空字符串而不是 NULL
const branchIdsParam = branchIdArray.length > 0
? branchIdArray.join(',')
: '' // ✅ 空字符串,不是 null
const sql = `
SELECT * FROM orders
WHERE CASE
WHEN :branchIds = '' THEN TRUE
ELSE branch_id = ANY(string_to_array(:branchIds, ',')::int[])
END
`
// ✅ 传递空字符串可以避免类型推断问题
await knex.raw(sql, { branchIds: branchIdsParam })
3. 动态表名和列名
// ❌ 错误:命名参数不能用于表名
const sql = `SELECT * FROM :tableName WHERE id = :id`
await knex.raw(sql, { tableName: 'users', id: 1 })
// 错误:会被解释为字符串 'users' 而不是表名
// ✅ 正确:使用模板字符串 + 白名单验证
const allowedTables = ['users', 'orders', 'employees']
const tableName = allowedTables.includes(userInput) ? userInput : 'users'
const sql = `SELECT * FROM "${tableName}" WHERE id = :id`
await knex.raw(sql, { id: 1 })
📊 性能对比
命名参数 vs 模板字符串
// 测试场景:执行 1000 次查询
// 方式一:纯命名参数(推荐)
console.time('命名参数')
for (let i = 0; i < 1000; i++) {
await knex.raw(`SELECT * FROM orders WHERE id = :id`, { id: i })
}
console.timeEnd('命名参数')
// 命名参数: 3250ms
// 方式二:模板字符串
console.time('模板字符串')
for (let i = 0; i < 1000; i++) {
await knex.raw(`SELECT * FROM orders WHERE id = ${i}`)
}
console.timeEnd('模板字符串')
// 模板字符串: 3280ms (每次都是新的 SQL,无法利用查询计划缓存)
结论:
- 命名参数可以利用 PostgreSQL 的 Prepared Statement 缓存
- 模板字符串每次都生成新的 SQL,略慢
- 差异不大,但大量重复查询时命名参数更优
🎓 最佳实践总结
✅ 推荐做法
- 优先使用命名参数:对于所有数据值类型的参数
- 白名单验证:对于必须使用模板字符串的参数,严格进行白名单验证
- 参数复用:利用命名参数可以多次使用的特性
- 空值处理:数组参数传递空字符串而不是 null
❌ 避免做法
- 不要对用户输入直接使用模板字符串插值
- 不要对数据值使用模板字符串(除非有特殊原因)
- 不要在命名参数中使用表名、列名、函数常量
📋 决策流程图
参数需要传递到 SQL 中?
├─ 是数据值(字符串、数字、日期等)?
│ └─ ✅ 使用命名参数 :paramName
│
├─ 是表名、列名、函数常量?
│ ├─ 来自用户输入?
│ │ └─ ✅ 白名单验证 + 模板字符串 ${param}
│ └─ 来自系统配置?
│ └─ ✅ 直接使用模板字符串 ${param}
│
└─ 是 SQL 关键字?
└─ ✅ 使用模板字符串 ${param}
🔗 扩展阅读
📝 总结
在 Knex.js 的 raw() 方法中:
- 命名参数(
:paramName)适用于数据值,安全且可复用 - 模板字符串(
${param})适用于 SQL 结构元素,需要白名单验证 - 混合使用两者可以兼顾安全性和灵活性
date_trunc()等函数的常量参数必须使用模板字符串
正确理解和使用这两种方式,可以写出既安全又高效的 SQL 查询代码。
扫一扫
832
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
