首页 > 代码库 > 拼接sql是陷阱

拼接sql是陷阱

项目临时新增一个功能,此时我们习惯自己拼接一个sql。

更可怕的是,后期用户要求新增查询条件,甚至有上10个查询条件,这时的拼接更头疼,if append

append(" status=@status")

append("and ……")

 

结果就成了@statusand

执行sql的时候显然会出错,不存在@statusand 变量。

启示:

好的方法是尽量避免拼接sql;

或者重写stringbuild.append方法,自动在两头追加空格

 

拼接sql是陷阱