Postgres.js 中 SET LOCAL 参数绑定的正确使用方式

Postgres.js 是一个流行的 Node.js PostgreSQL 客户端库，但在使用 SET LOCAL 命令设置会话参数时，开发者可能会遇到语法错误。本文将深入分析这个问题并提供解决方案。

问题现象

当开发者尝试使用 Postgres.js 执行类似以下 SQL 语句时：

await sql`SET LOCAL c.user_id2 TO ${"test"};`

系统会抛出错误："PostgresError: syntax error at or near "$1""。这是因为 Postgres.js 默认会将所有变量作为参数绑定处理，而 SET LOCAL 命令不支持参数绑定。

技术背景

Postgres.js 默认使用参数化查询来防止 SQL 注入，它会将模板字符串中的变量自动转换为预编译语句中的参数（如 $1, $2 等）。然而，某些 PostgreSQL 命令（如 SET LOCAL）不支持参数绑定，必须直接使用字符串值。

解决方案

有两种方法可以解决这个问题：

方法一：使用 unsafe 模式

await sql.unsafe(`SET LOCAL c.user_id2 TO 'test';`)

unsafe 方法会直接拼接 SQL 字符串而不使用参数绑定，但需要注意防范 SQL 注入风险。

方法二：使用参数化查询的替代方案

await sql`SELECT set_config('c.user_id2', ${"test"}, true)`

这种方法使用了 PostgreSQL 的 set_config 函数，它支持参数绑定，同时实现了与 SET LOCAL 相同的功能。第三个参数 true 表示只在当前事务中有效（等同于 LOCAL 修饰符）。

安全建议

虽然 unsafe 方法可以解决问题，但在生产环境中应谨慎使用。推荐优先使用 set_config 函数方案，因为它既保持了参数绑定的安全性，又实现了相同的功能。

总结

在 Postgres.js 中处理 SET LOCAL 这类不支持参数绑定的命令时，开发者应当：

1. 了解命令的参数绑定支持情况
2. 优先寻找支持参数绑定的替代方案
3. 必要时使用 unsafe 方法，但要确保参数值的安全性

通过正确理解 PostgreSQL 命令的参数绑定限制，开发者可以编写出既安全又高效的数据库操作代码。