PostgreSQL - SQL 状态：42601 语法错误

Question

我想知道如何在函数中使用动态查询。我尝试了很多方法，但是，当我尝试编译我的函数时，会显示一条消息 SQL 42601。

我使用的代码：

CREATE OR REPLACE FUNCTION prc_tst_bulk(sql text)
RETURNS TABLE (name text, rowcount integer) AS 
$$
BEGIN
  WITH v_tb_person AS (return query execute sql)
  select name, count(*) from v_tb_person where nome like '%a%' group by name
  union
  select name, count(*) from v_tb_person where gender = 1 group by name;
END     
$$ LANGUAGE plpgsql;

我收到的错误信息：

ERROR:  syntax error at or near "return"
LINE 5:     WITH v_tb_person AS (return query execute sql)

我尝试使用：

WITH v_tb_person AS (execute sql)

WITH v_tb_person AS (query execute)

WITH v_tb_person AS (return query execute)

怎么了？我该如何解决这个问题？

这是一个与PostgreSQL equivalent of Oracle “bulk collect”相关的问题

Answer 1

你的函数会这样工作：

CREATE OR REPLACE FUNCTION prc_tst_bulk(sql text)
RETURNS TABLE (name text, rowcount integer) AS 
$$
BEGIN

RETURN QUERY EXECUTE '
WITH v_tb_person AS (' || sql || $x$)
SELECT name, count(*)::int FROM v_tb_person WHERE nome LIKE '%a%' GROUP BY name
UNION
SELECT name, count(*)::int FROM v_tb_person WHERE gender = 1 GROUP BY name$x$;

END     
$$ LANGUAGE plpgsql;

呼叫：

SELECT * FROM prc_tst_bulk($$SELECT a AS name, b AS nome, c AS gender FROM tbl$$)

• 您不能像尝试那样混合普通 SQL 和动态 SQL。整个语句要么全是动态的，要么全是纯 SQL。因此，我正在构建一个动态声明来完成这项工作。你可能对executing dynamic commands in the manual的章节感兴趣。

• 聚合函数 count() 返回 bigint，但您将 rowcount 定义为 integer，因此您需要显式转换 ::int 才能完成这项工作

• 我使用dollar quoting 来避免引用地狱。

然而，这应该是SQL injection 攻击的蜜罐，还是您真的要使用它？对于您非常私密和安全的使用，它可能没问题 - 尽管我什至不相信自己拥有这样的功能。如果不受信任的用户有任何可能的访问权限，那么这样的功能就是一个加载的脚枪。这是不可能的 确保安全。

Craig（SQL 注入的死敌！）当他看到你在your preceding question 的答案中从他的代码中伪造的内容时，可能会受到轻击。 :)

查询本身似乎很奇怪，顺便说一句。但这不是重点。