为什么有人会在SQL子句中使用WHERE 1=1 AND <条件>(通过连接字符串获得的SQL,或者视图定义)

我在某个地方看到过,这将用于防止SQL注入,但这看起来非常奇怪。

如果有一个注入WHERE 1=1和注入OR 1=1将有相同的结果注入OR 1=1。

稍后编辑:视图定义中的用法如何?


谢谢你的回答。

尽管如此, 我不明白为什么有人会使用这种结构来定义视图,或者在存储过程中使用它。

举个例子:

CREATE VIEW vTest AS
SELECT FROM Table WHERE 1=1 AND table.Field=Value

当前回答

如果您在这里搜索WHERE 1,请注意WHERE 1和WHERE 1=1是相同的。很少使用WHERE 1,因为一些数据库系统认为WHERE 1不是布尔值而拒绝使用它。

其他回答

我第一次遇到这个回到ADO和经典asp,我得到的答案是:性能。 如果你做一个直的

从表名中选择*

并将其作为SQL命令/文本传入,您将获得显著的性能提升

1 = 1

另外,这是一个明显的差异。只要满足第一个条件,就会返回表头,或者其他一些疯狂的事情,总之,它确实加快了速度。

实际上,我在BIRT报告中看到过这类东西。传递给BIRT运行时的查询是这样的:

select a,b,c from t where a = ?

还有'?'在运行时被从下拉框中选择的实际参数值替换。下拉菜单中的选项是:

select distinct a from t
union all
select '*' from sysibm.sysdummy1

这样你就得到了所有可能的值加上*。如果用户从下拉框中选择了“*”(意味着a的所有值都应该被选中),在运行查询之前必须修改(通过Javascript)。

因为"?"是一个位置参数,必须保持在那里以便其他东西工作,Javascript将查询修改为:

select a,b,c from t where ((a = ?) or (1==1))

这基本上消除了where子句的影响,同时仍然保留位置参数。

我还见过懒惰的程序员在动态创建SQL查询时使用AND大小写。

比如你必须动态创建一个以select * from t开头的查询,并检查:

我的名字叫鲍勃;而且 薪水是2万美元

有些人会在第一个单词后面加上WHERE,然后在后面的单词后面加上and,这样:

select * from t where name = 'Bob' and salary > 20000

懒惰的程序员(这并不一定是一个坏特性)不会区分添加的条件,他们会从select * from t where 1=1开始,然后在后面添加and子句。

select * from t where 1=1 and name = 'Bob' and salary > 20000

回顾了所有的答案,我决定做一些实验

SELECT
*
FROM MyTable

WHERE 1=1

然后我用其他号码核对了一下

WHERE 2=2
WHERE 10=10
WHERE 99=99

等 在完成所有检查之后,查询run town是相同的。即使没有where从句。我不喜欢这种语法

似乎是一种懒惰的方式,总是知道WHERE子句已经定义,并允许您继续添加条件,而不必检查它是否是第一个条件。

这是一个用例…然而,我不太关心为什么我应该或不应该使用1 = 1的技术细节。 我正在写一个函数,使用pyodbc从SQL Server检索一些数据。我正在寻找一种方法,在我的代码中的where关键字后强制填充。这确实是一个很好的建议:

if _where == '': _where = '1=1'
...
...
...
cur.execute(f'select {predicate} from {table_name} where {_where}')

原因是我不能在_where子句变量中一起实现关键字“where”。因此,我认为使用任何计算结果为真的虚拟条件都可以作为填充符。