本文介绍如何在 go 中高效生成含 union all 的动态 sql 查询,重点对比模板渲染与原生字符串拼接的适用场景,并推荐更安全、清晰、可维护的 strings.builder + fmt.sprintf 方案。
在 Go 开发中,当需要为多个日期/分区表(如按天分表的 orderhistory_t20140101)批量构建统一查询时,常需将多个相似 SQL 子句用 UNION ALL 连接。虽然 text/template 支持循环(如 {{range}}),但对简单、结构固定且无需复用逻辑的 SQL 拼接,模板反而增加复杂度和运行时开销——它更适合 HTML 渲染或配置化程度高的多变场景。
更推荐的做法是:使用 Go 原生字符串操作,在代码中直接构造。以下是一个健壮、易读、性能友好的实现:
package main
import (
"fmt"
"strings"
)
func buildUnionQuery(dates, tags []string) string {
if len(dates) == 0 || len(dates) != len(tags) {
return ""
}
var parts []string
for i := range dates {
// 使用 %q 自动添加单引号并转义特殊字符(如含单引号的日期字符串)
query := fmt.Sprintf(
"SELECT %q AS date, itemid, price FROM orderhistory_t%s",
dates[i], tags[i],
)
parts = append(parts, query)
}
return strings.Join(parts, "\nUNION ALL\n")
}
func main() {
slice1 := []string{"2014-01-01", "2014-01-02", "2014-01-03"}
slice2 := []string{"20140101", "20140102", "20140103"}
sql := buildUnionQuery(slice1, slice2)
fmt.Println(sql)
}输出结果(格式化后更清晰):
SELECT '2014-01-01' AS date, itemid, price FROM orderhistory_t20140101 UNION ALL SELECT '2014-01-02' AS date, itemid, price FROM orderhistory_t20140102 UNION ALL SELECT '2014-01-03' AS date, itemid, price FROM orderhistory_t20140103
✅ 关键优势说明:
- 安全性提升:%q 格式化自动处理 SQL 字符串转义,避免手动拼接引号导致的语法错误或注入风险(尽管此处为可信数据,但习惯性防御值得坚持);
- 可读性与可维护性:逻辑集中、无模板语法干扰,便于单元测试、参数校验(如长度一致性检查)和后续扩展(例如添加 WHERE 条件或字段映射);
- 性能更优:零反射、零模板解析开销,strings.Join 内部优化良好,适合高频调用场景。
⚠️ 注意事项:
- 若 slice1 和 slice2 来源不可信(如用户输入),绝不可直接拼入 SQL —— 此方案仅适用于已清洗/白名单验证后的静态元数据。真实业务中建议改用参数化查询 + IN 或物化视图等更安全的方案;
- 如需支持大量子句(>1000),可替换为 strings.Builder 避免多次内存分配;
- 模板方案并非完全不可用,若项目已重度依赖模板引擎且需复用同一结构于多种输出(SQL/JSON/YAML),可定义如下精简模板:
const unionTpl = `{{range $i, $d := .Dates}}SELECT {{printf "%q" $d}} AS date, itemid, price FROM orderhistory_t{{index $.Tags $i}}{{if lt (add $i 1) (len $.Dates)}} UNION ALL{{end}}{{end}}`
总之,工具服务于目标:SQL 拼接本质是字符串组装任务,Go 原生能力已足够强大、简洁、可靠——优先选择它,让代码更直白、更可控。
