Anda tidak dapat menggunakan placeholder untuk pengidentifikasi (seperti nama tabel dan kolom), placeholder adalah untuk nilai . Anda dapat menganggap pengidentifikasi mirip dengan nama variabel atau fungsi di Go sehingga dapat menggunakan placeholder untuk pengidentifikasi akan sama dengan memiliki eval seperti dalam berbagai bahasa skrip.
Ini mengurangi Anda untuk menggunakan fmt.Sprintf dan operasi string serupa untuk membangun SQL saat Anda tidak mengetahui pengenal hingga waktu proses:
col := "firstName"
sql := fmt.Sprintf("select %s from persons", col)
tapi ini membuka Anda untuk injeksi SQL dan mengutip masalah sehingga Anda ingin semacam daftar putih:
quotedColumns := map[string]string{
"firstName": "`firstName`",
"lastName": "`lastName`",
...
}
quoted, ok := quotedColumns[columnName]
if !ok {
// Do something with the error here and run away...
}
sql := fmt.Sprintf("select %s from persons", quoted)
Perhatikan bahwa saya telah menyertakan kutipan backtick MySQL dalam nilai peta. Tidak ada apa pun di antarmuka standar untuk mengutip/melarikan diri dari pengenal sehingga Anda harus melakukannya sendiri. Jika Anda sudah menulis peta daftar putih dengan tangan, Anda juga dapat menyertakan kutipan dengan tangan; jika tidak, Anda dapat menulis fungsi kutipan Anda sendiri untuk pengidentifikasi dengan membaca dokumentasi MySQL tentang mengutip dan melakukan beberapa (semoga) operasi string sederhana.
