Solidne podejście do programowego budowania zapytań SQL

Lepsze zapytanie

Na początek możesz poprawić składnię, uprościć i nieco wyjaśnić:

SELECT *
FROM  (
   SELECT p.person_id, p.name, p.team, sum(s.score)::int AS score
         ,rank() OVER (PARTITION BY p.team
                       ORDER BY sum(s.score) DESC)::int AS rnk
    FROM  person p
    JOIN  score  s USING (person_id)
    GROUP BY 1
   ) sub
WHERE  rnk < 3;

• Opierając się na moim zaktualizowanym układzie tabeli. Zobacz skrzypce poniżej.

• Nie potrzebujesz dodatkowego podzapytania. Funkcje okna są wykonywane po funkcje agregujące, dzięki czemu można je zagnieżdżać, jak pokazano.

• Mówiąc o „rankingu”, prawdopodobnie chcesz użyć rank() , a nie row_number() .

• Zakładając people.people_id jest PK, możesz uprościć GROUP BY .

• Pamiętaj, aby zakwalifikować do tabeli wszystkie nazwy kolumn, które mogą być niejednoznaczne

Funkcja PL/pgSQL

Następnie napisałbym funkcję plpgsql, która pobiera parametry dla twoich zmiennych części. Implementacja a - c swoich punktów. d jest niejasne, pozostawiając to do dodania.

CREATE OR REPLACE FUNCTION f_demo(_agg text       DEFAULT 'sum'
                               , _left_join bool  DEFAULT FALSE
                               , _where_name text DEFAULT NULL)
  RETURNS TABLE(person_id int, name text, team text, score int, rnk int) AS
$func$
DECLARE
   _agg_op  CONSTANT text[] := '{count, sum, avg}';  -- allowed functions
   _sql     text;
BEGIN

-- assert --
IF _agg ILIKE ANY (_agg_op) THEN
   -- all good
ELSE
   RAISE EXCEPTION '_agg must be one of %', _agg_op;
END IF;

-- query --
_sql := format('
SELECT *
FROM  (
   SELECT p.person_id, p.name, p.team, %1$s(s.score)::int AS score
         ,rank() OVER (PARTITION BY p.team
                       ORDER BY %1$s(s.score) DESC)::int AS rnk
    FROM  person p
    %2$s  score  s USING (person_id)
    %3$s
    GROUP BY 1
   ) sub
WHERE  rnk < 3
ORDER  BY team, rnk'
   , _agg
   , CASE WHEN _left_join THEN 'LEFT JOIN' ELSE 'JOIN' END
   , CASE WHEN _where_name <> '' THEN 'WHERE p.name LIKE $1' ELSE '' END
);

-- debug   -- quote when tested ok
-- RAISE NOTICE '%', _sql;

-- execute -- unquote when tested ok
RETURN QUERY EXECUTE _sql
USING  _where_name;   -- $1

END
$func$  LANGUAGE plpgsql;

Zadzwoń:

SELECT * FROM f_demo();
SELECT * FROM f_demo('sum', TRUE, '%2');    
SELECT * FROM f_demo('avg', FALSE);
SELECT * FROM f_demo(_where_name := '%1_'); -- named param

Skrzypce SQL

• Potrzebujesz solidnego zrozumienia PL/pgSQL. Poza tym jest zbyt wiele do wyjaśnienia. Powiązane odpowiedzi znajdziesz tutaj w SO w sekcji plpgsql dla praktycznie każdego szczegółu w odpowiedzi.

• Wszystkie parametry są traktowane bezpiecznie, nie ma możliwości wstrzyknięcia SQL. Więcej:

  • Czy zdefiniować nazwy tabel i kolumn jako argumenty w funkcji plpgsql?
  • Nazwa tabeli jako Parametr funkcji PostgreSQL

• Zwróć uwagę w szczególności, jak WHERE klauzula jest dodawana warunkowo (gdy _where_name jest przekazany) z parametrem pozycyjnym $1 w zapytaniu. Wartość jest przekazywana do EXECUTE jako wartość z USING klauzula . Bez konwersji typu, bez ucieczki, bez szans na wstrzyknięcie SQL. Przykłady:

  • Rozwijanie wierszy za pomocą „ *" nie jest tutaj obsługiwana
  • Stan SQL:błąd składni 42601 na poziomie „11” lub w jego pobliżu
  • Refaktoryzuj funkcję PL/pgSQL, aby zwrócić dane wyjściowe różnych zapytań SELECT

• Użyj DEFAULT wartości parametrów funkcji, więc możesz podać dowolne lub żadne. Więcej:

  • Funkcje ze zmiennym numerem parametrów wejściowych
  • Podręcznik wywoływania funkcji

• Funkcja format() jest kluczem do budowania złożonych dynamicznych ciągów SQL w bezpieczny i czysty sposób.