为什么有人会在SQL子句中使用WHERE 1=1 AND <条件>(通过连接字符串获得的SQL,或者视图定义)
我在某个地方看到过,这将用于防止SQL注入,但这看起来非常奇怪。
如果有一个注入WHERE 1=1和注入OR 1=1将有相同的结果注入OR 1=1。
稍后编辑:视图定义中的用法如何?
谢谢你的回答。
尽管如此, 我不明白为什么有人会使用这种结构来定义视图,或者在存储过程中使用它。
举个例子:
CREATE VIEW vTest AS
SELECT FROM Table WHERE 1=1 AND table.Field=Value
当前回答
虽然我可以看到1=1对于生成的SQL很有用,但我在PHP中使用的一种技术是创建一个子句数组,然后执行
implode (" AND ", $clauses);
这样就避免了前导和后导AND的问题。显然,这只有在您知道至少有一个子句时才有用!
其他回答
如果条件列表在编译时不知道,而是在运行时构建,则不必担心是否有一个或多个条件。你可以像这样生成它们:
and <condition>
然后把它们连在一起。1=1在开头,首字母和有关联。
我从来没见过这个用于任何注射保护,就像你说的,它似乎没有多大帮助。我曾看到它被用作一种实现方便。SQL查询引擎最终会忽略1=1,因此它不会对性能产生影响。
间接相关:当使用1=2时:
CREATE TABLE New_table_name
as
select *
FROM Old_table_name
WHERE 1 = 2;
这将创建一个与旧表具有相同模式的新表。(非常方便,如果你想加载一些数据进行比较)
在生产代码中看到了这一点,并向前辈寻求帮助。
他们的回答:
-我们使用1=1,所以当我们必须添加一个新的条件时,我们只需输入
and <condition>
然后继续做下去。
似乎是一种懒惰的方式,总是知道WHERE子句已经定义,并允许您继续添加条件,而不必检查它是否是第一个条件。
Using a predicate like 1=1 is a normal hint sometimes used to force the access plan to use or not use an index scan. The reason why this is used is when you are using a multi-nested joined query with many predicates in the where clause where sometimes even using all of the indexes causes the access plan to read each table - a full table scan. This is just 1 of many hints used by DBAs to trick a dbms into using a more efficient path. Just don't throw one in; you need a dba to analyze the query since it doesn't always work.
