String SQL ="select *from emp where" +"empid='"+empid+"'".............
我想判断empid有没有值。如果有就拼在SQL里如果没有就不拼在sql里
如果你只是想要根据判定来拼SQL的话,可以使用三目运算符。例如你的empid是String类型,则可将你的语句改成:String SQL ="select *from emp where 1=1 " + StringUtils.isNotBlank(empid)?"and empid="+empid: " "+............; 虽然你这样拼SQL可以达成目的,但是这种方式并不安全,容易让那些有心的人抓住漏洞,可能会通过某些渠道(在你的参数值上面增加删表或修改值等SQL语句)植入一些SQL,这样安全就会成问题。如果你用的是Hibernate的话,还是用?来替代参数值比较好,Hibernate保证了一个?对应的一定是一个参数值,安全性会更高。
加一个empid与空字符串的判断不就行了么,分别生成两条sql语句,然后你的sql语句有问题哈,*号后面和dfrom应该有空格的,小白回答,不喜勿喷
用StringBuffer变量来存。
判断empid是否为空
为空就不管。
不为空就用.append添加要拼接的sql
哪些说StringBuffer性能好的,说SQL注入问题的,度没有回到楼主的问题,虽然你们说的是对的;
String SQL ="select * from emp where 1=1 " ;
if(!StringUtils.isNotBlank(empid))
{
SQL+= " and empid='"+empid+"' "
}
就这样写!!!