我明白你想要打造一个能向任意表的多列动态插入任意数据类型值的PostgreSQL函数，原函数确实只局限于单列单值的场景，而且还存在SQL注入的潜在风险。下面咱们直接上改造后的完整方案：

CREATE OR REPLACE FUNCTION public.dynamic_insert(
    table_name character varying,
    column_names text[],
    data_types text[],
    values_list text[]
) RETURNS void 
LANGUAGE plpgsql 
VOLATILE
AS $BODY$
DECLARE
    insert_query text;
BEGIN
    -- 先校验参数数量是否匹配：列名、数据类型、值的数量必须一致
    IF array_length(column_names, 1) != array_length(data_types, 1) 
       OR array_length(column_names, 1) != array_length(values_list, 1) THEN
        RAISE EXCEPTION '列名、数据类型、值的数量必须完全对应';
    END IF;

    -- 构建安全的动态插入语句
    insert_query := format(
        'INSERT INTO %I (%s) VALUES (%s)',
        table_name,
        -- 把列名数组转为带标识符的字符串，避免SQL注入
        array_to_string(array_agg('%I'), ', ') USING column_names,
        -- 生成带类型转换的参数占位符，对应每个值的类型
        array_to_string(array_agg('CAST($%s AS %s)'), ', ') 
            USING generate_subscripts(values_list, 1), data_types
    );

    -- 执行动态语句，用USING安全传递所有值参数
    EXECUTE insert_query USING unnest(values_list);
END;
$BODY$;

核心改进细节 #

• 数组化参数设计：用text[]类型接收列名、数据类型、值列表，完美支持任意数量的列插入
• 完全规避SQL注入：全程用%I格式化表名和列名，值参数通过USING传递，绝不直接拼接字符串
• 参数合法性校验：先检查三组数组的长度是否一致，提前拦截不合法的输入
• 动态类型转换：通过generate_subscripts生成参数位置，结合传入的data_types完成精准的类型转换

实际使用示例 #

假设你有一张products表，包含product_id(int)、product_name(varchar)、price(numeric)三个字段，调用函数插入数据的方式如下：

SELECT public.dynamic_insert(
    'products',
    ARRAY['product_id', 'product_name', 'price'],
    ARRAY['int', 'varchar', 'numeric'],
    ARRAY['101', '无线耳机', '299.99']
);

这样就能一次性完成多列不同数据类型的插入操作，安全又灵活。

内容的提问来源于stack exchange，提问作者Rick Jiang