String sql = "select * from sys_user where 1=2"与String sql = "select * from sys_user where 1=1的对比介绍

最新推荐文章于 2024-07-01 23:52:08 发布
最新推荐文章于 2024-07-01 23:52:08 发布
阅读量1w 收藏 12
点赞数 4
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/abcchengxuyuan/article/details/77929397
版权


今天在公司的项目中看到String sql = "select * from sys_user where 1=2";还有String sql = "select * from sys_user where 1=1";这些sql语句,看了半天不大明白什么意思,请教了一下大佬,总结整理了一下;
String sql = "select * from sys_user where 1=2和
String sql = "select * from sys_user where 1=1的比较;
相同点:可以拼接字符串;
比如:
String sql="select * from user where 1=1 "; 


if(username!=null) sql=sql+ " and username='"+username+"'"; 


if(password!=null) sql=sql+ " and password='"+password+"'"; 


select id from sys_user where 1=1
<if test="username !=null and password != ''">
AND name = #{name}
</if>
<if test="firstType !=null and firstType != ''">
AND firstType = #{firstType}
</if>
<if test="secondType !=null and secondType != ''">
AND secondType = #{secondType}
</if>


因为我这里是动态查询,假如第一个条件不成立,那么如果我没有使用 1 = 1 ,
我的SQL就会变成 select XXX from XXX where  and XXXX ,
如果我加了1 = 1,就会变成 select XXX from XXX where 1 = 1 and XXXX;
从这里面可以看出在动态sql中.加了这个1=1是可以拼接sql语句的;
不同点:
String sql="select * from user where 1=1 "; 
此sql返回的永远为真,也就是true,
可以理解为条件永远为真,查出的是所有数据;
相当于String sql="select * from user;
比如:
String sql="select * from user where 1=1 "; 


if(username!=null) sql=sql+ " and username='"+username+"'"; 


if(password!=null) sql=sql+ " and password='"+password+"'"; 


后面两个条件username,password两者都为空也是可以查询的,因为还有前面的查询条件;
String sql = "select * from sys_user where 1=2
此sql返回的永远为假,也就是false,
可以理解为where条件不成立,虽然执行了查询,但是返回的是空数据;
使用这句sql永远不能查询到数据;
建议使用上面的1=1好点;
附:本人菜鸟如有错误欢迎指正,谢谢诸位大佬;
古美門
关注
MyBatis 执行动态 SQL语句详解
09-01
例如,一个简单的 SQL 语句 `select * from sysuser where enabled = 1` 可以这样实现: ```xml <!-- Mapper XML --> <select id="executeSql" resultType="map">${_parameter}</select> ``` ```java // Mapper ...
String sql=" select * from login1 where user=' "+user+" ' and password=' "+password+" ' ";
pangpangfeng的博客
04-21 6741
JDBC中SQL查询语句引号问题 用JDBC操作数据库模拟用户登录,注意sql语句除了数字类型外要加双引号或单引号 String user=“1”; String password=“2”; String sql=" select * from login1 where user=’ " +user+ " ’ and password=’ " +password+ " ’ "; 打印结果...
数据库查询
Tyueer的博客
10-25 349
第一节:增删改语句 1、insert语句 语法 INSERT [INTO] table_name [(COLUMN1 [,COLUMN2 [,......]])] VALUES (VALUE1 [,VALUE2 [,......]); 省略列名:前提条件是按顺序插入所有列 值要和列 一一对应(个数、类型、顺序) 一次录入多行: 语法: INSERT [INTO] table_name [(COLUMN1 [,COLUMN2 [,......]])] VALUES (VALUE1 [,V
SQL 注入联合查询之为什么要 and 1=2
最新发布
无知的人很多,我也是一个。
07-01 378
SQL 注入联合查询中,将 id 先置为假(如 id=-1 或其他使查询结果为空的条件),通常是为了让前面的查询语句查询不到结果,从而使联合查询中后面的语句结果能够显示在回显位上。
SQL注入
weixin_45007073的博客
10-05 6732
class文件简介及加载      Java编译器编译好Java文件之后,产生.class 文件在磁盘中。这种class文件是二进制文件,内容是只有JVM虚拟机能够识别的机器码。JVM虚拟机读取字节码文件,取出二进制数据,加载到内存中,解析.class 文件内的信息,生成对应的 Class对象:    &nbsp...
数据库查询学习笔记
weixin_44558721的博客
07-31 843
MySQL中的查询
JDBC学习
一条游向寒江的鱼
08-25 781
JDBC就是使用Java语言操作关系数据库的一套API 全程:Java DataBase Connectivity Java数据库连接
java动态拼接Stringsql
怪只怪满眼尽是人间烟火
02-03 1321
String sql = "SELECT * from em_earmarkboxinfo ac "; //定义一个list<string>类型的集合,用来放拼接的SQL语句 List<String> list = new ArrayList<>(); if (ebiboxid != 0) { String sqla = " BoxId= " + ebiboxid; ...
strSQL = "Select * From " & strTableName & " Where False "
yuqun518的专栏
07-14 1997
strSQL = "Select * From " & strTableName & "  Where False "请问什么意思?   数据库不是SQL SERVER吧?SQL SERVER 写法: strSQL = "Select * From " & strTableName & "  Where 1=2"就是取得记录条数为0的记录集,相当于取得表结构
Spring Boot整合mybatis使用注解实现动态Sql、参数传递等常用操作(实现方法)
09-07
@Select("select * from sys_user where id=#{id} and nickname like #{nickname}") List<User> selectByParams(@Param("id") String id, @Param("nickname") String nickname); ``` 6. **@Results和@Result注解...
MyBatis执行动态SQL的方法
08-26
这样,我们就可以使用接口调用方法:xxMapper.executeSql("select * from sysuser where enabled = 1");这是一种简单的执行动态SQL的方法。 但是,随着业务的复杂化,我们需要使用参数方式传值,例如(enabled = #{...
经典Oracle SQL语句收集.txt
07-31
根据提供的文件信息,我们可以归纳出以下几个重要的Oracle SQL知识点: ### 经典的查询语句 在Oracle数据库中,查询语句是最基本也是最重要的操作之一。它可以帮助我们从大量的数据中提取有用的信息。以下是一些...
检测sql状态
07-05
3. **SQL查询**:除了直接连接,还可以通过发送特定的SQL命令(如`SELECT @@SERVICENAME`或`SELECT * FROM sys.dm_os_service_objects WHERE service_name LIKE '%sqlserver%'`)来获取服务信息,判断SQL Server的...
select * from * inner join * on问题
xxjzzit的专栏
11-07 3316
自己写程序时,遇到跟数据库之间的查询时,都是用:SELECT * FROM...WHERE... 这次看到别人写的程序中用到“select* from* inner join * on”: strsql = "SELECT * FROM Item INNER JOIN Product ON Item.Id = Product.Id " 刚开始不是很明白的意思,后来在网上查了才
SQL注入及其实践
郭同学如是说
03-24 2130
SQL Injection的原因和危害 原因 在输入的字符串之中注入SQL指令,恶意指令就会被数据库服务器误认为是正常的SQL指令而运行,遭到破坏或是入侵 下图可以很好的表示SQL注入,车牌被识别后,系统会执行drop database指令删除数据库 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-OJS67coF-1616555090118)(D:%5Ctyporapic%5Cimage-20210323075103619.png)] 下面的漫画中,该学生的姓名为“Rober
SQL中变量用String.Format
Goldxwang的博客
11-15 7424
这个数据库操作语句一个有String.Format,一个没有,区别:  string.Format()方法可以以参数的形式完成字符串,例如, string sql=string.Format("select * from myTable where id={0}",id); 这句就可以通过在前面定义一个变量id实现完成一个id值可变的sql语句 而string sql=""的形式引号内只能
Oracle数据库知识整理----SQL查询基础
雨云21的博客
06-16 341
开始之前需要导入一些表,下载地址:https://yuyunyaohui.lanzous.com/ivPKcdnlecd 导入方法:https://blog.csdn.net/hyh17808770899/article/details/106744978 1、基本查询语句 SELECT [DISTINCT] column_name1,…|* FROM table_name [WHERE conditions] 2、在SQL PLUS中设置格式 COLUMN column_name HEADING
比较常用的sql语句
u010001192的博客
04-30 482
最近做了个在线网上书城的项目,对其中涉及到的一些通用技术做简单总结。 1.登录和注册模块 这个模块几乎在所有项目中都会出现,注册时通常需要查找用户名或者邮箱是否存在;登陆时需要验证用户名和密码匹配,这时我们需要通过sql语句查找数据库中的记录。 String sql = "select * from t_user where loginname=? "//用于操作用户名的sql语句
SQL语句汇总
She_is_fifteen的博客
06-30 235
-- 创建三张表张表模拟银行存钱取钱,用户信息 -- 账户信息 create table t_user(account_id VARCHAR(32) PRIMARY KEY not null,username varchar(32) not null, sex char(2) not null, age int not null) -- 余额表 create table account(account_id varchar(32) not null,money DECIMAL(10,2) not nul.
在JdbcDemo类中更改sysuser表,请依次实现下面步骤。 ① 在执行查询语句之前,增加执行更改语句insert into sysuser(uname, upassword, telephone, email, wechat) values ('wang', 'king', '13999999999', 'wang@wang.com', 'kingofking')。 ② 再次运行JdbcDemo类,观察记录运行结果”。 ③ 注释①中的代码。在执行查询语句之前,增加执行更改语句update sysuser set upassword = '000000' where uname = 'wang'。 ④ 再次运行JdbcDemo类,观察记录运行结果”。 ⑤ 注释③中的代码。在执行查询语句之前,增加执行更改语句delete from sysuser where uname = 'wang'。 ⑥ 再次运行JdbcDemo类,观察记录运行结果”。 ⑦ 尝试修改上面的SQL语句,理解和掌握JDBC的使用方式。java代码
06-10
以下是实现上述要求的Java代码: ```java import java.sql.*; public class JdbcDemo { public static void main(String[] args) { try { // 加载驱动 Class.forName("com.mysql.jdbc.Driver"); // 定义数据库连接、用户名和密码 String url = "jdbc:mysql://vlab.tute.edu.cn:7006/数据库名称"; String user = "用户名"; String password = "密码"; // 获取连接对象 Connection conn = DriverManager.getConnection(url, user, password); // 创建语句对象 Statement stmt = conn.createStatement(); // 增加记录 String sql1 = "insert into sysuser(uname, upassword, telephone, email, wechat) values ('wang', 'king', '13999999999', 'wang@wang.com', 'kingofking')"; stmt.executeUpdate(sql1); // 修改记录 String sql2 = "update sysuser set upassword = '000000' where uname = 'wang'"; stmt.executeUpdate(sql2); // 删除记录 String sql3 = "delete from sysuser where uname = 'wang'"; stmt.executeUpdate(sql3); // 查询记录 ResultSet rs = stmt.executeQuery("select * from sysuser"); // 遍历ResultSet对象 while (rs.next()) { System.out.println(rs.getString("uname") + " " + rs.getString("upassword") + " " + rs.getString("telephone") + " " + rs.getString("email") + " " + rs.getString("wechat")); } // 关闭语句对象和连接对象 rs.close(); stmt.close(); conn.close(); } catch (ClassNotFoundException | SQLException e) { e.printStackTrace(); } } } ``` 注意:在实际使用中,应该根据需求修改SQL语句,例如修改表名、字段名、增加条件等。同时,应该注意防止SQL注入攻击,避免用户输入恶意的SQL语句。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值