组合查询中一对单引号引起的悲剧

最新推荐文章于 2021-06-30 18:50:07 发布
最新推荐文章于 2021-06-30 18:50:07 发布
阅读量2.9k 收藏
点赞数 3
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lianjiangwei/article/details/13170933
版权

最近在忙着做机房收费系统,当做到组合查询的时候,发现了一个问题,那就是无法精确的返回满足查询条件的结果,具体的情况我们来看一个小例子:

首先,我们来看看数据库中要查询的表的全部记录

请注意红色方框标记的字段值,下面我们运行一下存在问题的源程序

当我设置查询条件为:卡号>23时,请注意图中蓝色方框标记的数据,显然不满足我设置的查询条件,为什么会出现这个问题呢?起初我的直觉是数据类型的问题,即字符串和数字的识别出现了问题,于是我就使用了IIF函数对文本框的内容进行判断:IIf(IsNumeric(Text1.Text), Val(Text1.Text), Text1.Text),即对text1中输入的内容进行判断,若为真则用函数Val()转化为数字类型,否则不作处理,可是发现根本没什么用。

到底是哪里出了问题呢?偶然想起了在SQL Server中写代码的时候,where子句中的条件格式,如果是字符串类型的数据我们要用一对英文状态下的单引号引起来,那么比较数据的大小当然不用单引号了,不如我们在SQL Server做一个实验:

首先我们不用单引号:

请注意图中蓝色方框标记的查询条件,23是不带单引号的,我们看到返回的结果是正确的,那么我们加上单引号再看看会有什么意想不到的结果:

大家注意返回结果中蓝色方框内的数据,和源程序中的错误结果一模一样,问题找到了,那就是我们在宿主语言VB中进行和数据库交互的时候对SQL语句的条件处理不当,才导致了查询返回不正确的结果,如何消除这个异常呢?

很简单,用一个If语句就可以搞定,下面我们来看修改后的代码:

<span style="font-size:18px">txtSQL = "select * from student_Info where "
    
    '判断各个文本框是否为空

    If Not Testtxt(Trim(Combo1.Text)) Or Not Testtxt(Trim(Combo4.Text)) Or Not Testtxt(Trim(Text1.Text)) Then
        MsgBox "查询条件不完整,请重新确认!!", vbOKOnly + vbCritical, "查询提示"
        Exit Sub
    Else
        If IsNumeric(Text1.Text) Then
            txtSQL = txtSQL & FieldName(Combo1.Text) & Combo4.Text & "" & Text1.Text & ""
        Else
            txtSQL = txtSQL & FieldName(Combo1.Text) & Combo4.Text & "'" & Text1.Text & "'"
        End If
            
    End If
 
    '利用函数判断是否是两个条件的组合查询
    If ComboInquire(Combo7.Text) Then
    '是组合查询
        If Not Testtxt(Combo2.Text) Or Not Testtxt(Combo5.Text) Or Not Testtxt(Text2.Text) Then
            MsgBox "查询条件不完整,请检查确认!!", vbOKOnly + vbCritical, "查询提示"
            Exit Sub
        Else
           Select Case Combo7.Text
           Case "与"
            If IsNumeric(Text2.Text) Then
                txtSQL = txtSQL & " And " & FieldName(Combo2.Text) & Combo5.Text & "" & Text2.Text & ""
            Else
                txtSQL = txtSQL & " And " & FieldName(Combo2.Text) & Combo5.Text & "'" & Text2.Text & "'"
            End If
           Case "或"
            If IsNumeric(Text2.Text) Then
                txtSQL = txtSQL & " Or " & FieldName(Combo2.Text) & Combo5.Text & "" & Text2.Text & ""
            Else
                txtSQL = txtSQL & " And " & FieldName(Combo2.Text) & Combo5.Text & "'" & Text2.Text & "'"
            End If
            End Select
        End If
    End If
      
    '再次判断是否是三个条件限制的组合查询
    If ComboInquire(Combo8.Text) Then
        '组合查询
        If Not Testtxt(Combo3.Text) Or Not Testtxt(Combo6.Text) Or Not Testtxt(Text3.Text) Then
            MsgBox "查询条件不完整,请检查确认!!", vbOKOnly + vbCritical, "查询提示"
            Exit Sub
        Else
           Select Case Combo8.Text
           Case "与"
           
            If IsNumeric(Text3.Text) Then
                txtSQL = txtSQL & " And " & FieldName(Combo3.Text) & Combo6.Text & "" & Text3.Text & ""
            Else
                txtSQL = txtSQL & " And " & FieldName(Combo3.Text) & Combo6.Text & "'" & Text3.Text & "'"
            End If
            
           Case "或"
           
            If IsNumeric(Text3.Text) Then
                txtSQL = txtSQL & " Or " & FieldName(Combo3.Text) & Combo6.Text & "" & Text3.Text & ""
            Else
                txtSQL = txtSQL & " And " & FieldName(Combo3.Text) & Combo6.Text & "'" & Text3.Text & "'"
            End If
            
            End Select
        End If
    End If</span>

这样我们再来执行相同条件的查询:


结果是正确的,问题被完美的解决了。其实这是个很小的问题,但是很多人并没有注意到这个问题,如果我们的机房收费系统真的投入使用,是绝对不能出现任何问题的,基本的查询都无法保证,更别谈其他的了。
愿有岁月可回首&
关注
字符串包含单引号加上mybitis${}写法引发的plese exclude tableName or statementId异常
qq_24120467的博客
09-21 297
单引号导致plese exclude tableName or statementId异常
js单引号与双引号冲突问题解决方法
12-10
如何解决js单引与双引冲突,想下面的这段代码: 代码如下:html += ‘ <a>取消</a>’; 这是js的代码,如果这里这样写的话,会提示js错误,是因为removeOpenCss方法里的参数没有单引或者双引,如果这里,这样写的话: 代码如下:html += ‘ <a>取消</a>’; 直接会报错,因为这里单引和双引冲突,所以我只通过这样解决
springdata jpa@Query表名作为参数会自动添加单引号,导致报错
ununie的博客
08-06 1万+
在使用springdata jpa时,利用@Query写原生的sql想要表名作为参数传递,发现springdata jpa会默认给参数添加单引号,导致报错。 1、表结构及数据 2、实体类 3、repository 因为需要使用到mysql的函数,所以使用的是原生sql,nativeQuery=true,这里默认是false。 4、测试 测试结果: 注意到会...
Mybatis】-mybatis传递参数时,会加上单引号
在这个充满危险的乱世之中,只有学会烤鸡才能顽强的活下去。
12-04 5119
一、项目描述 今天对项目进行改BUG的时候,遇到了一个查找数据的时候,总是不对,于是自己就开始DEBUG,但是发现传入的参数也都没有问题啊,所以想到不是代码的问题,那就是sql的问题。 于是我就跟着断点一步一步的走,发现sql语句好像也没有错,自己就查了查相关的知识。 二、解决方案 将#改成$符号 三、相关知识 (1)使用#{参数}传入会加上单引号,sql语句解析是会加上'', select * from table where name = #{name} 比如...
在python一对单引号,一对双引号,三个单双引号的区别和用法
banla2050的博客
01-29 817
首先说明,在python三个单双引号并不是真正的注释 >>> type("""abcde""") <class 'str'> >>> type('''abcd''') <class 'str'> 这样可以看出三对单,双引号是有数据类型的 三对单,双引号的用法是定义的时候可以定义多行字符串 >&g...
关于Mysql查询单引号及插入带单引号字符串问题
09-10
在MySQL查询,正确处理带有单引号的字符串至关重要,因为单引号是SQL语句的特殊字符,未正确处理可能导致语法错误或者更严重的安全问题,如SQL注入攻击。SQL注入是恶意用户通过输入带有特殊SQL命令的数据来操纵...
Js参数值含有单引号或双引号问题的解决方法
10-26
在JavaScript编程,我们经常需要将参数传递给函数,这些参数可能包含字符串,而字符串可能会含有单引号(')或双引号(")。然而,如果不正确地处理这些特殊字符,可能会导致语法错误,从而影响代码的执行。本文...
我遇到的参数传递 双引号单引号嵌套问题
09-05
参数传递双引号单引号嵌套问题解决方案 在编程,参数传递是非常常见的一种操作,但是当我们需要在双引号嵌套单引号时,问题就来了。在这篇文章,我们将讨论如何解决参数传递双引号单引号嵌套问题。 首先...
oracle插入字符串数据时字符串有'单引号问题
09-09
总的来说,处理Oracle数据库字符串含有单引号的问题,主要通过转义单引号或者使用参数化查询来解决。在编写SQL语句时,应当注意这类可能导致语法错误的特殊字符,并采取相应的预防措施,确保数据的正确插入和系统...
浅谈oracle单引号转义
12-16
在ORACLE单引号有两个作用:   1:字符串是由单引号引用   2:转义。  单引号的使用是就近配对,即就近原则。而在单引号充当转义角色时相对不好理解  1.从第二个单引号开始被视为转义符,如果第二个单...
C语言几个数互不相等_收藏!C语言入门基础知识大全
weixin_39986178的博客
10-17 1833
C语言的逻辑值只有两个:真(true)和假(flase)。用非零代表真,用零代表假。因此,对于任意一个表达式,如果它的值为零,就代表一个假值,如果它的值为非零,就代表一个真值。只要值不是零,不管是正数,负数,整数,实数,都代表一个真值。例如-5的逻辑值为真。电子学习资料大礼包​mp.weixin.qq.com1 C语言程序的结构认识用一个简单的c程序例子,介绍c语言的基本构成、格式、以及良好的书...
解决使用springboot+ jpa + @query原生sql查询,无法动态插入表名的问题
qq_27127145的博客
03-13 1万+
问题描述: 在使用springboot2.0 + jpa+ @query原生sql查询时,无法动态插入表名 public interface BalanceTargetInfoRepositoryWithNativeQuery extends JpaRepository<BalanceTargetInfoBean, Long> { /** * 不能使用,问...
Spring data jpa@query使用原生SQl,需要注意的坑
热门推荐
湫兮若风的博客
10-19 2万+
Spring data jpa @Query 使用原生Sql的坑 根据代码来解说: @Query(value = &amp;quot;select bill.id_ as id, bill.created_date as date, bill.no, lawyer_case .case_no as caseNo, &amp;quot; + &amp;quot;lawyer_case .case_name as caseName...
python 字符串组成MySql 命令时,字符串含有单引号或者双引号导致出错解决办法...
weixin_34128501的博客
06-07 610
引用自:https://blog.csdn.net/zhaoya_huangqing/article/details/48036839 一、在组成SQL语句并发送命令时完全按照Python的样式去传递,这样在MySql执行的时候就会遇到错误的命令,由单引号或者双引号引起。因此应该在组成字符串之前,手动将字符串单引号或者双引号之前加上反斜杠,这样在组合成字符串的时候,MySql就能够识别了...
Jpa查询语句针对%和_等特殊字符的转义
qq_38530648的博客
06-30 2049
Jpa查询语句针对%和_等特殊字符的转义 最近做项目发现,在进行查询时,输入%和_等字符时,仍可以查询出结果,因此查询时需要对特殊字符进行特殊处理,Jpa对于%字符是可以查询出所有结果,转义操作如下: if (Strings.isNotBlank(deviceRelatedParam.getTerminalName())) { String terminalName = deviceRelatedParam.getTerminalName(); //判断字符串里是否包含%和_ if (terminal
spring data jpa 使用原生sql查询数据库 原生sql有in关键字 该如何传参?
huxiaochao_6053的博客
12-03 1万+
遇到问题? 第一次写的时候in 关键字后面传的是将List 集合转化为一个这样的字符串, "'123','23','23'"  @Query(nativeQuery = true, value = "SELECT COUNT(beew.id) AS total FROM `bhpp2.0_evenmngtservice`.`evenmngt_workitem` beew "         ...
评论 32
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值