php程序员转go常犯的错误-------sql中in功能的使用

我想要实现这样的效果
select * from table_name where id in (1,2,3)
代码是这么写的。

where := `id in (?)` sb := sqlbuilder.NewStruct(data{}).SelectFrom("table_name")sqlText, args := sb.Where(where).Build()var temp []string for _, v := range IDs { temp = append(temp, fmt.Sprintf("%d", v)) } IDString := strings.Join(temp, ",")args = []interface{}{IDString} rows, err := client.DBClient(ctx).Query(sqlText, args...) err = orm.ScanRows(rows, &dataResult)// dataResult 返回结果空值log.Infof("rawsql=%v",util.FormatSql(sqlText, args...))

通过log打印出来的sql是这个样子的
select * from table_name where id in (1,2,3)
完全符合预期,拿这个sql在数据库里直接执行,也能查出结果。
这个让我很奇怪。这不就是把sql拼进去搞出来一个字符串吗?难道是 in 应该用大写 IN ?
试了下,不行。
然后我就想到还有一个go里封装好的专门用于 in 语句的方法,于是改成这样
sb := sqlbuilder.NewStruct(data{}).SelectFrom("table_name")sqlText, args :=sb.Where(sb.In(`id`, sqlbuilder.Flatten(IDs)...)).Build()

这么写就完全ok了。
怀疑是不是mysql遇到这种,先pre,然后变量替换的场景时,为了安全,执行前把字符串型值进行了特殊处理,例如加了引号? 问了专家,专家说数据安全性由应用程序保证,数据库还是只做它专业的事情。
那就有可能是go客户端给加了引号之类的吧,跟了下代码,也没找到是哪处理的。
【php程序员转go常犯的错误-------sql中in功能的使用】总结:
就当做一个结论记下就好了,以后遇到使用in功能的时候,都使用后面这种方法。

    推荐阅读