Slonik项目中的多语句查询限制问题解析与解决方案

问题背景

Slonik作为PostgreSQL的Node.js客户端库，在近期版本中引入了一个重要的安全限制：禁止在单个查询中执行多个SQL语句。这一变更虽然提升了安全性，但也导致了一些依赖多语句查询的工具无法正常工作，特别是@slonik/migrator这样的数据库迁移工具。

技术细节分析

Slonik的这一变更主要出于安全考虑，防止SQL注入攻击。在PostgreSQL中，单个查询包含多个语句时，攻击者可能利用这一特性执行未授权的操作。Slonik通过在驱动层检测分号数量来识别多语句查询，并在发现时抛出InvalidInputError错误。

影响范围

这一变更主要影响了以下场景：

1. 数据库迁移工具（如@slonik/migrator）
2. 需要批量执行多个SQL语句的脚本
3. 包含存储过程或函数定义的迁移文件

解决方案

官方推荐方案

Slonik维护者建议迁移到新的解决方案pgkit.dev，这是一个正在开发中的替代方案，提供了更多迁移功能并保持向后兼容性。

临时解决方案

对于需要继续使用现有工具的用户，可以通过修改Slonik驱动代码来临时解决此问题：

1. CommonJS环境方案：

const fs = require('fs');
const target = './node_modules/@slonik/pg-driver/dist/factories/createPgDriverFactory.js';
const content = fs.readFileSync(target, 'utf8');
const newContent = content.replace(
  `throw new errors_1.InvalidInputError('Must not use multiple statements in a single query.');`,
  `// 禁用多语句检查
  result = result[result.length - 1];`
);
fs.writeFileSync(target, newContent);

2. ESM模块方案：

import fs from "node:fs";
import path from "node:path";
import { createRequire } from "node:module";

const require = createRequire(import.meta.url);
const pgDriverPath = path.resolve(require.resolve("@slonik/pg-driver"), "../");
const target = path.join(pgDriverPath, "dist/factories/createPgDriverFactory.js");

const content = fs.readFileSync(target, "utf8");
const newContent = content.replace(
  `throw new errors_1.InvalidInputError('Must not use multiple statements in a single query.');`,
  `// 禁用多语句检查
  result = result[result.length - 1];`
);
fs.writeFileSync(target, newContent);

安全考虑

虽然上述解决方案可以临时解决问题，但开发者应当注意：

1. 这会降低应用程序的安全性防护
2. 仅应在受信任的环境中使用此方案
3. 长期来看，应该迁移到支持单语句查询的解决方案

最佳实践建议

1. 对于新项目，考虑使用pgkit.dev等替代方案
2. 对于现有项目，评估是否可以将多语句查询拆分为多个单语句查询
3. 如果必须使用多语句查询，确保输入参数经过严格验证
4. 考虑在CI/CD流程中添加安全检查，防止SQL注入风险

总结

Slonik的多语句查询限制是一项重要的安全改进，虽然短期内可能带来兼容性问题，但从长远来看有助于提升应用安全性。开发者应当根据项目实际情况选择合适的解决方案，平衡安全性和功能性需求。