在 typeorm 中动态构建查询时,若需通过循环为 `andwhere` 添加多个带命名参数的条件,必须确保参数对象的键名与 sql 字符串中 `:${key}` 的占位符严格一致——关键在于使用计算属性名语法 `{[varname]: value}`,而非字面量键 `{varname: value}`。
在实际开发中(例如实现 HTML 表格的多字段后端过滤),我们常接收一个动态过滤对象(如 {Location: 'Seattle', Status: 'Active'}),并希望将其逐个转换为 SQL 的 WHERE 子句。此时推荐使用 TypeORM 的 QueryBuilder 配合命名参数(named parameters)来保障类型安全与 SQL 注入防护。
以下是一个完整、健壮的实现示例:
const filters = { Location: 'Seattle', Status: 'Active' };
const query = this.tableRepository
.createQueryBuilder('myTable')
.where('myTable.id = :id', { id: table_id }); // 注意:原代码中 :id 对应的参数名应为 'id',而非 'table_id'
let paramIndex = 1;
for (const [key, value] of Object.entries(filters)) {
const paramName = `searchVal${paramIndex++}`;
// ✅ 正确:使用计算属性名,使参数对象键名与 SQL 中的 :searchVal1 完全匹配
query.andWhere(`myTable.row_data->> '${key}' ILIKE :${paramName}`, { [paramName]: `%${value}%` });
}
const result = await query.getMany();⚠️ 关键注意事项:
- 参数键名必须动态生成:{ [paramName]: value } 是核心修复点;若写成 { paramName: value },TypeORM 将查找名为 "paramName" 的参数(字面量),而非 "searchVal1",导致参数未绑定,进而触发 PostgreSQL 的语法错误(如 syntax error at or near ":")。
-
避免 SQL 注入风险:字段名(如 key)直接拼入 SQL 字符串存在风险。生产环境建议对 key 做白名单校验或使用 QueryBuilder.escape()(但注意 escape() 不适用于 JSON 路径操作符 ->> 的左侧)。更安全的做法是预定义允许过滤的字段列表:
const allowedKeys = ['Location', 'Status', 'Department']; if (!allowedKeys.includes(key)) continue; // 跳过非法字段
- JSONB 模糊匹配说明:row_data->> 'Location' 表示将 JSONB 字段 row_data 中键为 'Location' 的值提取为文本,并用 ILIKE 进行大小写不敏感的模糊匹配;确保数据库列类型为 JSONB 且已建立合适的 GIN 索引以提升性能。
-
空值/undefined 过滤:建议在循环前过滤掉空值,避免生成无效条件:
const validFilters = Object.fromEntries( Object.entries(filters).filter(([, v]) => v != null && v !== '') );
总结:TypeORM 的命名参数机制要求参数对象的键与 SQL 占位符完全一致,动态键必须通过 [computedKey] 语法声明。掌握这一细节,即可安全、灵活地构建可扩展的动态查询逻辑。
