数据库字符拼接用什么语法 SQL常用字符串连接函数汇总

不同数据库字符串拼接语法不同：mysql使用concat()和concat_ws()，sql server使用+，postgresql、oracle和sqlite使用||，其中mysql、postgresql和oracle会将null视为空字符串，而sql server中只要有一个null结果即为null，需用ifnull或isnull处理；2. 避免sql注入应使用参数化查询而非直接拼接用户输入；3. 可结合substring、replace、upper、lower、trim等函数辅助拼接；4. 特殊字符需转义，mysql用，sql server、postgresql和oracle用”表示单引号，也可用replace函数替换。掌握这些方法可安全高效实现跨数据库字符串拼接。

数据库字符拼接，不同数据库语法还真不一样，但目的都一样，就是把几个字符串连成一个。掌握几个常用的，基本就够用了。

解决方案

SQL里字符串拼接这事，看似简单，其实坑不少。不同数据库，语法不一样，得注意。

先说几个常见的：

• MySQL:

  CONCAT()

  函数，最常用，直接把字符串扔进去就行。比如

  CONCAT('Hello', ' ', 'World')

  结果就是 “Hello World”。 还有个

  CONCAT_WS()

  ，可以指定分隔符，省事不少。

  CONCAT_WS('-', '2023', '10', '26')

  结果就是 “2023-10-26″。

• SQL Server: 用

  +

  号，简单粗暴。

  'Hello' + ' ' + 'World'

  效果一样。不过要注意，如果其中一个是 NULL，整个结果就是 NULL 了。

• PostgreSQL: 也是用

  ||

  ，和 SQL Server 的

  +

  类似，但 NULL 值处理不一样，PostgreSQL 会把 NULL 当空字符串处理，不会影响整个结果。

• Oracle: 用

  ||

  ，跟 PostgreSQL 一样。

• SQLite: 也是

  ||

  ，但要注意 SQLite 默认是弱类型，如果拼接的是数字，可能会有类型转换的问题。

SQL 字符串拼接时，如何避免注入攻击？

SQL 注入是个老生常谈的问题，但还是得注意。拼接字符串的时候，千万别直接把用户输入放进去。得用参数化查询或者预编译语句。

比如，不要这样写：

-- 错误示例，存在SQL注入风险 SELECT * FROM users WHERE username = '" + userInput + "'";

应该这样写：

-- 正确示例，使用参数化查询 SELECT * FROM users WHERE username = @username; -- 然后把 @username 的值设置为 userInput

这样，数据库会自动处理特殊字符，避免被恶意利用。

除了 CONCAT，还有哪些字符串函数可以辅助拼接？

光靠 CONCAT 有时候不够，还得配合其他函数。

• SUBSTRING()

  ：截取字符串，有时候需要截取一部分再拼接。

• REPLACE()

  ：替换字符串，把某些字符替换掉再拼接。

• UPPER()

  /

  LOWER()

  ：转换大小写，保持格式一致。

• TRIM()

  ：去除字符串首尾的空格，避免拼接后出现多余的空格。

举个例子，假设有个需求，要把用户的姓和名拼接起来，并且首字母大写：

-- MySQL 示例 SELECT CONCAT(UPPER(LEFT(firstname, 1)), LOWER(SUBSTRING(firstname, 2)), ' ', UPPER(LEFT(lastname, 1)), LOWER(SUBSTRING(lastname, 2))) AS fullname FROM users;

这个例子用到了

LEFT()

截取第一个字符，

SUBSTRING()

截取后面的字符，

UPPER()

转换成大写，

LOWER()

转换成小写，最后用

CONCAT()

拼接起来。

不同数据库的 NULL 值处理有什么区别？

NULL 值是个大坑，拼接字符串的时候尤其要注意。

• SQL Server: 只要有一个是 NULL，整个结果就是 NULL。
• MySQL: CONCAT 函数会把 NULL 当空字符串处理，不会影响整个结果。
• PostgreSQL / Oracle:

  ||

  也会把 NULL 当空字符串处理。

所以，在拼接字符串之前，最好先判断一下是否为 NULL，可以用

IS NULL

或者

COALESCE()

函数处理。

比如：

-- SQL Server 示例 SELECT ISNULL(firstname, '') + ' ' + ISNULL(lastname, '') AS fullname FROM users;  -- MySQL 示例 SELECT CONCAT(IFNULL(firstname, ''), ' ', IFNULL(lastname, '')) AS fullname FROM users;

ISNULL()

和

IFNULL()

的作用是，如果字段是 NULL，就替换成空字符串。

如何处理字符串中的特殊字符？

有些字符在 SQL 里有特殊含义，比如单引号、双引号、反斜杠等。如果字符串里包含这些字符，需要进行转义。

• MySQL: 用

  转义。比如

  'It's a beautiful day'

  。

• SQL Server: 用

  ''

  转义单引号。比如

  'It''s a beautiful day'

  。

• PostgreSQL / Oracle: 也是用

  ''

  转义单引号。

另外，还可以用

REPLACE()

函数替换特殊字符。

比如：

-- MySQL 示例 SELECT REPLACE(myString, ''', ''') FROM myTable;

这个例子把字符串里的单引号替换成了

'

。

总而言之，数据库字符串拼接这事，细节很多，需要根据不同的数据库选择合适的函数和方法。最重要的还是要注意 SQL 注入的风险，做好安全防护。