Postgres.js 中的 IN 查询参数化问题解析

问题现象

在使用 Postgres.js 进行数据库查询时，开发者可能会遇到一个常见的参数化查询问题。具体表现为当尝试使用 IN 操作符配合数组参数时，生成的 SQL 语句会将字符串值用双引号包裹，导致 PostgreSQL 将其解释为列名而非字符串值。

问题示例

考虑以下典型的使用场景：

const ids = ['ab11cd', 'ef22gh']

await sql`
  select student_id, max(version) as version
  from students
  where student_id in (${sql(ids)})
  group by student_id
`

这段代码生成的 SQL 语句会将数组元素用双引号包裹：

where student_id in ("ab11cd","ef22gh")

在 PostgreSQL 中，双引号用于标识列名或表名，而单引号才用于字符串值。因此数据库会尝试查找名为 ab11cd 和 ef22gh 的列，导致错误。

解决方案

Postgres.js 提供了正确的参数化方式，开发者需要遵循以下规范：

1. 直接使用数组参数：不需要手动添加括号

where student_id in ${sql(ids)}

2. 生成的正确SQL：Postgres.js 会自动处理为正确的语法

where student_id in ($1, $2)  -- 参数会被正确绑定

技术原理

Postgres.js 的参数化机制设计考虑了 PostgreSQL 的特定语法要求：

1. 当传递数组给 sql() 函数时，库会自动将其转换为位置参数形式
2. 参数值会通过预编译语句安全地传递给数据库，避免 SQL 注入
3. 库会处理各种数据类型的正确转义，包括字符串、数字等

最佳实践建议

1. 避免手动拼接 SQL 片段，始终使用库提供的参数化方法
2. 对于 IN 操作符，直接传递数组而不加额外括号
3. 复杂查询场景可考虑使用 sql.join() 方法处理多个条件
4. 测试生成的 SQL 语句以确保符合预期

通过遵循这些实践，开发者可以确保查询既安全又符合 PostgreSQL 的语法规范。