Postgresql 以文本字符串形式访问给定字段名的postgres字段
我在postgres有一个表:Postgresql 以文本字符串形式访问给定字段名的postgres字段,postgresql,Postgresql,我在postgres有一个表: create table fubar ( name1 text, name2 text, ..., key integer); 我想编写一个函数,在给定列名的情况下从fubar返回字段值: function getFubarValues(col_name text, key integer) returns text ... 其中,getFubarValues返回键标识的行中指定列的值。看起来这应该很容易 我不知所措。有人能帮忙吗?谢谢。您可以使用动态SQL按
create table fubar (
name1 text,
name2 text, ...,
key integer);
function getFubarValues(col_name text, key integer) returns text ...
我不知所措。有人能帮忙吗?谢谢。您可以使用动态SQL按名称选择列:
create or replace function get_fubar_values (col_name text, row_key integer)
returns setof text language plpgsql as $$begin
return query execute 'select ' || quote_ident(col_name) ||
' from fubar where key = $1' using row_key;
end$$;
->CREATE TABLE test (
id SERIAL,
js JSON NOT NULL,
k TEXT NOT NULL
);
INSERT INTO test (js,k) VALUES ('{"abc":"def","ghi":"jkl"}','abc');
SELECT js->k AS value FROM test;
value
-------
"def"
行到行jsonCREATE TABLE test (
id SERIAL,
a TEXT,
b TEXT,
k TEXT NOT NULL
);
INSERT INTO test (a,b,k) VALUES
('foo','bar','a'),
('zip','zag','b');
SELECT row_to_json(test)->k AS value FROM test;
value
-------
"foo"
"zag"
(row\u to\u json(test)->k)::text现在问题本身已经得到了回答,下面是为什么你不应该这样做,以及你应该做什么! 永远不要相信任何数据。即使它已经存在于您的数据库中,您也不应该相信它。我在这里发布的方法是安全的,可以抵御SQL注入攻击,但是攻击者仍然可以将
k'id'行到行jsonCREATE EXTENSION HSTORE; -- necessary if you're not already using HSTORE
CREATE TABLE test (
id SERIAL,
cols HSTORE NOT NULL,
k TEXT NOT NULL
);
INSERT INTO test (cols,k) VALUES
('a=>"foo",b=>"bar"','a'),
('a=>"zip",b=>"zag"','b');
SELECT cols->k AS value FROM test;
INSERT INTO test (cols,k) VALUES
(hstore( 'a', 'foo' ) || hstore( 'b', 'bar' ), 'a'),
(hstore( ARRAY['a','b'], ARRAY['zip','zag'] ), 'b');
有关更多详细信息,请参阅。“这将从给定列名的fubar返回字段值”-为什么不能直接编写
从fubar选择列名?您在这里试图解决的真正问题是什么?这可能比Kill的答案要快,但OP应该注意,在使用此方法之前,他们必须注意列名是安全的(任何空格、引号或其他特殊字符都会将其打断,如果col_name输入不可信(即,它来自用户或数据库本身,这在本问题的上下文中似乎很可能),则这是SQL注入风险)