C# sql中拼接查询条件时:避免where 1=1出现

最新推荐文章于 2024-01-09 15:39:44 发布
最新推荐文章于 2024-01-09 15:39:44 发布
阅读量923 收藏 1
点赞数
分类专栏: mysql 文章标签: mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jayzai/article/details/105262263
版权 
        string sql = string.Format("select * from {0} where 1=1", "user");
            //拼接查询条件
            string sqlWhere = string.Empty;
            if (userId > 0)
            {
                sqlWhere += string.Format(" and userId={0}", userId);
            }
            if (gender != -1)
            {
                sqlWhere += string.Format(" and gender={0}", gender);
            }
            if (status != -1)
            {
                sqlWhere += string.Format(" and `status`={0}", status);
            }
            sql += sqlWhere;
            sql += string.Format(" order by userId desc limit {0},{1}", skip, limit);

换成如下:

            string sql = string.Format("select * from {0}", "user");
            //拼接查询条件
            List<string> queryWhere = new List<string>();
            if (userId > 0)
            {
                queryWhere.Add(string.Format("userId={0}", userId));
            }
            if (gender != -1)
            {
                queryWhere.Add(string.Format("gender={0}", gender));
            }
            if (status != -1)
            {
                queryWhere.Add(string.Format("`status`={0}", status));
            }
            string sqlWhere = GetQueryWhere(queryWhere);
            sql += sqlWhere;
            sql += string.Format(" order by userId desc limit {0},{1}", skip, limit);
        public static string GetQueryWhere(this List<string> list)
        {
            if (list == null || list.Count <= 0)
                return "";

            //string sqlWhere = string.Join(" and ", list);
            //return " where " + sqlWhere;

            bool flag = true;
            StringBuilder strBuilder = new StringBuilder();
            foreach (var q in list)
            {
                if (flag)
                {
                    strBuilder.Append(" where ");
                    flag = false;
                }
                else
                {
                    strBuilder.Append(" and ");
                }
                strBuilder.Append(q);
            }
            return strBuilder.ToString();
        }

 

Jayzai
关注
专栏目录
where 1=1是在什么候用
Rsun2018的博客
07-06 797
where 1=1 或者 where 1<>1是在什么候用? 组合查询用的。 比如select * from table_name where &condition &condition是一个变量,动态生成的,比如有两个查询条件,id和name。比如用户选择了id和name,那么语句就是select * from table_name where id=‘XXX’ ...
告别1=1:揭秘SQL查询性能提升的秘技 & C#实战攻略
最新发布
java专栏
06-27 320
🔥关注墨瑾轩,带你探索编程的奥秘!🚀🔥超萌技术攻略,轻松晋级编程高手🚀🔥技术宝库已备好,就等你来挖掘🚀🔥订阅墨瑾轩,智趣学习不孤单🚀🔥即刻启航,编程之旅更有趣🚀。
sql1=1的and和or问题
weixin_34128839的博客
01-02 1056
SELECT * FROM mentor_teacher WHERE 1 = 1 AND status = ? limit 0, 10 sql语句如果有1=1的问题, 那么,如果是and并且的关系那么久随便写了,没什么问题。 如果是or或者的关系,那么1=1,会出问题的,会把其他条件过滤掉。就是查找全部了 转载于:https://www.cnblogs.com/renjianjun/p...
SQL语句拼接常加 where 1=1 的原因
热门推荐
Jaybo
06-20 1万+
数据库在进行查询候,经常看到有的人使用where 1=1和1=0,1=2等的查询, 这种条件在执行前,就会被计算出true 或者false, 1=2实际解释为(NULL IS NOT NULL) true 则不影响,false则不会扫描 主要是一些程序员的为了拼凑动态的sql语句,如果使用不好会起到副作用的,是根据个人的一些习惯,是为了避免where 关键字后面的第一个词直接就是 “an
Yii1Query Builder的where方法使用大全
ruxing.li 的专栏
09-19 1万+
PHP工程师说白了也是CURD工程师,所做的工作无非是各种业务的CURD,掌握各种where的使用,MM再也不用担心我的程式会被攻击了~ Yii,使用where方法是非常频繁的,而且where方法本身的使用技巧比较的多,在这里我梳理了一些常用的,以便于以后工作的随查阅的需要,也希望能帮助到查阅此文的你,也欢迎各位的补充,不足之处希望指出! 还是从简入深吧!ps:这里的数据表是进行模拟的。
c# sql在where查询语句使用字符串变量与int型变量
qq_41892013的博客
05-20 2109
使用where语句访问数据库where语句用上文以及定义过的变量来查询。 1 string sql3 = string.Format(“update Ships set ContainerNum=’”+list1[0].ContainerNum+"’ where Name=’"+list[0].ShipName+"’"); Ships是表名 ContainerNum是表字段名 list1[...
SqlServer:使用IN()子句C#进行参数化查询
04-07
标题的“SqlServer:使用IN()子句C#进行参数化查询”指的是在SQL Server数据库,使用C#编程语言来构建一个参数化的查询,该查询涉及到SQL的IN操作符。IN操作符允许我们在WHERE子句指定一个值列表,查询满足...
C#实现String字符串转化为SQL语句的In后接的参数详解
08-25
特别是在处理多个值的筛选条件,`IN`关键字是SQL语句常用的语法结构,例如`SELECT * FROM table WHERE column IN (value1, value2, ...)`。本篇文章将详细介绍如何在C#实现将一个String字符串转化为适应`IN`后...
TypeQuery:NETSQL查询生成器,在C#启用强类型和可读SQL
03-21
它允许程序员在编写SQL查询使用C#的语法,避免了字符串拼接SQL语句可能出现的错误,并提高了代码的可维护性和安全性。 ### 1. 强类型安全 TypeQuery的核心优势在于其强类型特性。传统的SQL查询通常涉及字符串...
SqlServer参数化查询之where in和like实现详解
12-15
SQL Server,参数化查询是一种安全且高效的执行SQL的方式,它可以有效防止SQL注入,并在大量数据查询提高性能。本文主要讨论如何实现`WHERE IN`和`LIKE`的参数化查询,这两种操作在数据库查询非常常见,尤其...
C# 加工好拿来(SQl语句查询
12-21
C# 加工好拿来(SQl语句查询多行excle数据自动加引号和逗号 ,非常方便。select *from table where row in(‘A’,‘B')
C# 的where的使用
可为测控的机器视觉专栏
01-13 959
如果泛型类或方法对泛型成员使用除简单赋值之外的任何操作或调用 System.Object 不支持的任何方法,则必须对类型参数应用约束。例如,基类约束告诉编译器,仅此类型的对象或派生自此类型的对象可用作类型参数。用我目前理解到了东西来说,应该是 要求 泛型T 是继承自 Object 的,才可以使用 FindObjectOfType() 这个函数 ,所以我觉得。约束告知编译器类型参数必须具备的功能。在没有任何约束的情况下,类型参数可以是任何类型。的成员,它是任何 .NET 类型的最终基类。
深入解读:WHERE 1=1 背后的神秘力量
Java技术乐园
01-09 1122
WHERE 1=1是一个看似简单却在实际应用发挥着重要作用的技巧。通过本文的详细介绍和具体示例,您应该对WHERE 1=1有了更深入的了解。希望本文能帮助您更好地理解和应用这个技巧,提高您的数据库查询性能和代码可维护性。
select * from 表名 where 1=1
勿忘初心
01-08 6212
1=1 代表true, 如果单独是这个sql语句,可以不写where 1=1。但如果在程序需要拼装sql语句。比如后面要加条件,就要写上这个。select * from table where 1=1因为table根本就没有名称为1的字段,所以该SQL等效于select * from table,这个SQL语句很明显是全表扫描,需要大量的IO操作,数据量越大越慢,建议查询增加必输项,即whe
C# 生成SQL文追加Where条件的方法
zh_geo的专栏
09-09 1338
string Sql = @"SELECT * FROM Table WHERE 1=1"; 可以先加一个Where 1=1的条件 然后后面只需要一直追加AND条件,不必判断Where有没有,或者Where只有一个。 Sql += @" AND COUNTRY_CD " = '" + CountryID + "'"; Sql += @" AND LANGUAGE" = '" + Langu
不要再用where 1=1了,有更好的写法
程序新视界
03-01 6225
背景 刚入行的同学,看到在SQL语句出现where 1 = 1这样的条件可能会有所困惑,而长间这样使用的朋友可能又习以为常。 那么,你是否还记得当初为什么要这样写?是否有性能问题?有没有更好的写法? 今天这篇文章,带大家从头到尾梳理一下where 1 = 1的使用及改进,或许你能从得到更多意想不到的收获。 where 1=1的作用 如果要问在SQL语句的where条件多加1=1目的是什么,很简单:使得where条件语句永远为真。本质上就是虽然加了where条件,但实际上永远为真,也就相当于没有加任何
SQL语句where 1=1的基本用法
u011607686的博客
04-25 1281
SQL语句where 1=1的基本用法 转载 分类: 数据库与where 1=1等效的类似语句有1<>2,’a’=’a’,’a’<>’b’,其目的是where的条件为永真,得到的结果就是未加约束条件的。那么where 1=1 有什么用处呢?使用一 拼接SQL语句一个简单拼接SQL语句的例子: String sql = select * from table student where 1=1
数据库 - SQL
SimonxxSun的博客
05-14 871
目录 一、基础 select语句 关于分组处理数据的语句顺序: 其他 二、创建表 三、修改表 四、插入 五、更新 六、删除 七、查询 DISTINCT LIMIT 八、排序 ORDER BY 子句 九、过滤 WHERE 十、通配符 百分号 % 下划线 _ 方括号 [ ] 十一、计算字段 拼接 别名 十二、函数 汇总 文本处理 日期和间处...
sql where 1=1 规范代码
赵崇
01-19 6204
在讲解这个问题的候,首先来看一个例子。看一下这两个句子:select * from user select * from user where 1=1这两个 句子执行结果是一样一样的。而sql注入就是利用了这个原理 来进行破坏。比如:select * from user where id='1000'如果允许用户输入的话,那么这个句子就成了:select * from user where id
SQL Server参数化查询:WHERE IN与LIKE实现策略
"这篇文档详细介绍了在Sql Server如何实现参数化查询,特别是针对`WHERE IN`和`LIKE`操作的实现方式。" 在SQL Server,参数化查询是提高性能和防止SQL注入的重要手段。当涉及到大量数据的`WHERE IN`子句或者...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值