go分页排序需用结构体统一管理参数并校验合法性:page默认1、page_size设上限,sort_by和asc_desc须白名单校验;sql中禁用字符串拼接,用预定义映射和问号占位符防注入;GORM通过Order、Limit、Offset链式调用实现,并返回含total、page等字段的完整分页响应。
在 Go 语言中实现分页和排序,核心是把数据库查询逻辑与 http 请求参数解耦,用结构体统一管理分页与排序参数,并在 SQL 或 ORM 查询中安全注入这些条件。关键不是写得多,而是控制好偏移量、限制数和排序字段的合法性校验。
定义分页与排序参数结构体
用一个结构体封装所有前端可能传入的分页和排序参数,便于复用和校验:
- page 和 page_size 控制当前页码和每页数量,注意 page 默认为 1,page_size 建议设上限(如 100)防止恶意拉取全表
- sort_by 字段名需白名单校验,禁止直接拼接进 SQL;asc_desc 只接受 “asc” 或 “desc”,默认 “asc”
- 可扩展支持多字段排序,例如 sort_by=”created_at,name”,解析后逐个校验并生成 ORDER BY 子句
安全地构建 ORDER BY 和 LIMIT/OFFSET
避免 SQL 注入是重点。不要用 fmt.Sprintf 拼接排序字段,而应使用预定义映射或白名单判断:
- 定义合法字段映射:map[String]string{“name”: “name”, “created_at”: “created_at”, “status”: “status”}
- 对 sort_by 输入查映射,不存在则忽略或返回错误;asc_desc 同理只接受两个值
- 生成 SQL 时用问号占位符处理 LIMIT 和 OFFSET(如 LIMIT ? OFFSET ?),由 database/sql 自动转义
结合 GORM 实现示例(v2+)
GORM 支持链式调用,适合封装分页排序逻辑:
立即学习“go语言免费学习笔记(深入)”;
- 先用 Where 添加业务过滤条件(如 status = ?)
- 再根据校验后的 sort_by 和 asc_desc 调用 Order(“created_at DESC”)
- 最后用 Limit(pageSize).Offset((page-1)*pageSize) 完成分页
- 用 count() 单独查总数(注意 GORM v2 的 Count 需先 ResetScope 避免带 LIMIT)
返回结构体包含元信息
API 响应不应只返回数据列表,还需携带分页上下文,方便前端渲染:
- data:当前页数据切片
- pagination:含 total(总数)、page、page_size、total_pages、has_next、has_prev 等字段
- 避免前端自己算 total_pages,服务端统一计算更可靠