hzhost-PostgreSQL 中的单引号与双引号用法说明
在pg中的sql,单引号用来标识实际的值,双引号用来标识表名(table name)或列名(column name)等数据库中存在的值。
如,履行一句query:
1select “name” from “students” where “id”=’1′
加上引号的优点在于,当在hzhost程序中进行sql拼装的时分,能够简化对值的校验,同时又能够防止sql注入。即在数据库层面完结了事故的防止。
如,同样履行的query:
1select “;drop table students;” from “students” where “id”=’1′
由于被引号框起来,pg只会认为“;”也是列名的一部分,而不会将句子切断,从而顺利防止了事故。
弥补:PostgreSQL 和 MySQL 关于单引号、双引号、反单引号的区别
解决方案写在前面:
MySQL 能够使用单引号(’)或许双引号(”)表明值,可是 PG 只能用单引号(’)表明值,PG 的双引号(”)是表明体系标识符的,比如表名或许字段名。MySQL能够使用反单引号(`)表明体系标识符,比如表名、字段名,PG 也是不支持的。
事情的起因是同事发现好像反单引号(`)不能在 PG 中使用。在 MySQL 和 Spark SQL 中,我觉得用反单引号是一个优秀的习惯,所以我认为反单引号标识表名或许字段名应该是规范(好吧,所有的“认为”都是错的);确实感觉三观被颠覆。
然后便是去查了一下,下面贴出官网关于从 MySQL 搬迁 PostgreSQL 的 wiki 的答案,大家如果有搬迁上的问题(哪怕是思维上的搬迁),都能够看这个链接。
MySQL uses ‘ or ” to quote values (i.e. WHERE name = “John”). This is not the ANSI standard for databases. PostgreSQL uses only single quotes for this (i.e. WHERE name = ‘John’). Double quotes are used to quote system identifiers; field names, table names, etc. (i.e. WHERE “last name” = ‘Smith’).
MySQL uses ` (accent mark or backtick) to quote system identifiers, which is decidedly non-standard.
翻译过来便是写在前面的解决方案。
