本文介绍如何在 go 中高效生成含 union all 的动态 sql 查询,对比模板渲染与原生字符串构建两种方式,重点推荐安全、清晰、可控的 fmt.sprintf + strings.join 方案,并提供可直接复用的代码示例。
在 Go 应用开发中,尤其是处理分表(如按日期命名的 orderhistory_t20140101)或需要合并多时间窗口数据时,常需动态拼接多个相似 SQL 子查询并用 UNION ALL 连接。虽然 text/template 支持循环(如 {{range}}),但对本场景而言,直接使用 Go 原生字符串操作比模板更简洁、更易调试、更利于 SQL 安全控制。
以下是推荐实现方式——利用 fmt.Sprintf 构造每个子查询,再通过 strings.Join 以 " union all " 连接:
package main
import (
"fmt"
"strings"
)
func buildUnionQuery(dates, tags []string) string {
if len(dates) == 0 || len(dates) != len(tags) {
return ""
}
var parts []string
for i := range dates {
// 使用 %q 自动添加单引号并转义特殊字符(如内部单引号),提升安全性
query := fmt.Sprintf(
"select %q as date, itemid, price from orderhistory_t%s",
dates[i], tags[i],
)
parts = append(parts, query)
}
return strings.Join(parts, " union all ")
}
func main() {
slice1 := []string{"2014-01-01", "2014-01-02", "2014-01-03"}
slice2 := []string{"20140101", "20140102", "20140103"}
sql := buildUnionQuery(slice1, slice2)
fmt.Println(sql)
}输出结果(格式化后便于阅读):
select '2014-01-01' as date, itemid, price from orderhistory_t20140101 union all select '2014-01-02' as date, itemid, price from orderhistory_t20140102 union all select '2014-01-03' as date, itemid, price from orderhistory_t20140103
⚠️ 注意事项:
- SQL 注入防护:示例中使用 %q 对日期字符串进行安全转义(包裹单引号 + 转义内部引号),但若 slice2(表名后缀)来自用户输入,切勿直接拼接;应严格白名单校验(如正则 ^\d{8}$)或改用参数化分表路由。
- 模板非必需:text/template 更适合结构复杂、需复用逻辑或与 HTML/配置混合渲染的场景;而纯 SQL 拼接逻辑简单、迭代明确,硬编码反而更直观可靠。
- 性能与可读性:strings.Builder 可替代 []string + Join 获得更好性能(尤其大数据量),但对几十个子查询,当前方式已足够高效且语义清晰。
总结:对于 UNION ALL 类型的确定性 SQL 拼接,优先选择 Go 原生字符串组合;保持逻辑内聚、转义严谨、校验前置,比引入模板引擎更轻量、更可控、更符合 Go 的务实哲学。
