在node-postgres中打印参数化SQL查询语句的方法

参数化查询的重要性

在使用node-postgres进行数据库操作时，参数化查询是一种重要的安全实践。它能够有效防止SQL注入攻击，同时还能提高查询性能。然而，在开发调试过程中，我们有时需要查看最终生成的完整SQL语句，以便排查问题或记录日志。

原生node-postgres的限制

node-postgres库本身并没有直接提供打印完整SQL语句的功能。当我们使用参数化查询时，查询语句和参数是分开传递的：

const text = 'INSERT INTO users(name, email) VALUES($1, $2) RETURNING *';
const values = ['brianc', 'brian.m.carlson@gmail.com'];
const res = await client.query(text, values);

这种情况下，我们无法直接看到最终发送到数据库的完整SQL语句。

使用pg-format解决方案

一个常见的解决方案是使用pg-format模块。这个专门为PostgreSQL设计的格式化工具可以帮助我们构建完整的SQL语句。

安装pg-format

npm install pg-format

基本使用方法

const format = require('pg-format');

const query = format(
  'INSERT INTO users(name, email) VALUES(%L, %L) RETURNING *',
  'brianc',
  'brian.m.carlson@gmail.com'
);

console.log(query); // 打印完整SQL语句
// 输出: INSERT INTO users(name, email) VALUES('brianc', 'brian.m.carlson@gmail.com') RETURNING *

const res = await client.query(query);

占位符说明

pg-format提供了几种不同的占位符：

• %s：将值作为简单字符串插入（不添加引号）
• %L：将值作为字面量插入（自动添加引号并转义）
• %I：将值作为标识符插入（用于表名、列名等）

替代方案

如果你不想引入额外的依赖，也可以手动构建查询语句：

function buildQuery(text, values) {
  let i = 0;
  return text.replace(/\$(\d+)/g, (_, num) => {
    const index = parseInt(num, 10) - 1;
    const value = values[index];
    if (typeof value === 'string') {
      return `'${value.replace(/'/g, "''")}'`;
    }
    return value;
  });
}

const sql = buildQuery(text, values);
console.log(sql);

注意事项

1. 安全警告：仅将生成的SQL语句用于调试目的，不要直接执行这些拼接的语句，以免引入SQL注入风险。

2. 性能考虑：在生产环境中频繁构建完整SQL语句可能会影响性能，建议仅在开发调试阶段使用。

3. 复杂类型处理：对于日期、数组等复杂数据类型，可能需要额外的处理逻辑。

实际应用场景

1. 开发调试：快速查看实际执行的SQL语句，定位问题。

2. 日志记录：在特定情况下记录执行的SQL语句用于审计。

3. SQL语句分析：分析查询性能时，获取完整的执行语句。

通过以上方法，开发者可以在保持参数化查询安全优势的同时，获得调试所需的完整SQL语句信息。