为什么有人会在SQL子句中使用WHERE 1=1 AND <条件>(通过连接字符串获得的SQL,或者视图定义)
我在某个地方看到过,这将用于防止SQL注入,但这看起来非常奇怪。
如果有一个注入WHERE 1=1和注入OR 1=1将有相同的结果注入OR 1=1。
稍后编辑:视图定义中的用法如何?
谢谢你的回答。
尽管如此, 我不明白为什么有人会使用这种结构来定义视图,或者在存储过程中使用它。
举个例子:
CREATE VIEW vTest AS
SELECT FROM Table WHERE 1=1 AND table.Field=Value
当前回答
虽然我可以看到1=1对于生成的SQL很有用,但我在PHP中使用的一种技术是创建一个子句数组,然后执行
implode (" AND ", $clauses);
这样就避免了前导和后导AND的问题。显然,这只有在您知道至少有一个子句时才有用!
其他回答
只是在Greg的回答中添加了一个示例代码:
dim sqlstmt as new StringBuilder
sqlstmt.add("SELECT * FROM Products")
sqlstmt.add(" WHERE 1=1")
''// From now on you don't have to worry if you must
''// append AND or WHERE because you know the WHERE is there
If ProductCategoryID <> 0 then
sqlstmt.AppendFormat(" AND ProductCategoryID = {0}", trim(ProductCategoryID))
end if
If MinimunPrice > 0 then
sqlstmt.AppendFormat(" AND Price >= {0}", trim(MinimunPrice))
end if
虽然我可以看到1=1对于生成的SQL很有用,但我在PHP中使用的一种技术是创建一个子句数组,然后执行
implode (" AND ", $clauses);
这样就避免了前导和后导AND的问题。显然,这只有在您知道至少有一个子句时才有用!
这是一个用例…然而,我不太关心为什么我应该或不应该使用1 = 1的技术细节。 我正在写一个函数,使用pyodbc从SQL Server检索一些数据。我正在寻找一种方法,在我的代码中的where关键字后强制填充。这确实是一个很好的建议:
if _where == '': _where = '1=1'
...
...
...
cur.execute(f'select {predicate} from {table_name} where {_where}')
原因是我不能在_where子句变量中一起实现关键字“where”。因此,我认为使用任何计算结果为真的虚拟条件都可以作为填充符。
我曾见过在条件数量可变的情况下使用这种方法。
您可以使用“AND”字符串连接条件。然后,不计算传入的条件的数量,而是在stock SQL语句的末尾放置“WHERE 1=1”,并抛出连接的条件。
基本上,它使您不必对条件进行测试,然后在它们之前添加“WHERE”字符串。
间接相关:当使用1=2时:
CREATE TABLE New_table_name
as
select *
FROM Old_table_name
WHERE 1 = 2;
这将创建一个与旧表具有相同模式的新表。(非常方便,如果你想加载一些数据进行比较)
