原文来自:https://blog.csdn.net/zc474235918/article/details/50544484

看一下这两个句子:

select * from user
select * from user where 1=1

这两个 句子执行结果是一样一样的。而sql注入就是利用了这个原理 来进行破坏。比如:

select * from user where id='1000'

如果允许用户输入的话,那么这个句子就成了:

select * from user where id='XXX' or 1=1

这样的话,这个句子就是恒成立的了。

上述1=1 的使用,会影响预先指定的查询结果,使得本来要查询的数据 失效。 
       where 1=1 这种写法 虽然给程序开发人员带来不便,还要避免sql注入的问题。       但 “1=1” 这种写法 也会给程序编写增加了方便。

1=1 可以很方便的规范语句

对于组合查询的来说,因为查询比较模糊,而查询的where条件的个数也不确定。 
一般这样的sql语句进行查询的时候:

sql.append("select * from User");
if (whereUser.getID()!="") {
sql.append(" where ID=@id");
}
if (whereUser.getName()!="") {
sql.append(" and Name=@name");
}
if (whereUser.getAddress()!="") {
sql.append(" and Phone=@phone");
}

对于上述这种写法,逻辑上感觉没有问题。但是如果whereUser里面的id为空。那么最后拼接出来得到的语句会成:

select * from User and Name='XXX' and Phone='XXX'.

这条语句 没有where关键字,肯定会报错的。 
       但是如果说,既然条件个数未知,那么把where关键字放到 if外面去:

sql.append("select * from User");
sql.append("where"); if (whereUser.getID()!="") {
sql.append(" ID=@id");
}
if (whereUser.getName()!="") {
sql.append(" and Name=@name");
}
if (whereUser.getAddress()!="") {
sql.append(" and Phone=@phone");
}

这样写的话,如果三个条件都为空。则这是一条不带查询条件的查询。那么最后这条语句会被解析成:

select * from User where;

这条语句,空有where关键字 没有条件,照样会报错的。

对于解决上述这种未知的问题,只能进行各种情况的判断进行拼接。

当然可以用“where 1=1”进行代码的规范:

sql.append("select * from User where 1=1 ");
if (whereUser.getID()!="") {
sql.append(" and ID=@id");
}
if (whereUser.getName()!="") {
sql.append(" and Name=@name");
}
if (whereUser.getAddress()!="") {
sql.append(" and Phone=@phone");
}

对于上述的这种写法,无论是否有条件 都是可以成立的。

无条件的的时候:

select * from User where 1=1;

有条件的时候:

select * from User where 1=1 and id='XX' ……;

这样写的代码,会比 分情况判断的代码 更规范。对于以上的写法,并不是唯一的。也可以使 where ‘a’=’a’ 、’a’<>’b’等。

sql where 1=1 的详细解释的更多相关文章

  1. SQL Server 运行计划操作符具体解释(3)——计算标量(Compute Scalar)

    接上文:SQL Server 运行计划操作符详细解释(2)--串联(Concatenation ) 前言: 前面两篇文章介绍了关于串联(Concatenation)和断言(Assert)操作符,本文介 ...

  2. cmd批处理转义字符%的详细解释

    cmd批处理转义字符%的详细解释 在命令行中使用for时不需要双%,这源于命令解释器对命令行与批处理的处理方式不同. 1.%是个ESCAPE字符,通常将之译为转义字符,但也有更形象的译名脱逸字符.逃逸 ...

  3. .htaccess语法之RewriteCond与RewriteRule指令格式详细解释

    htaccess语法之RewriteCond与RewriteRule指令格式详细解释 (2012-11-09 18:09:08) 转载▼ 标签:  htaccess it 分类: 网络 上文htacc ...

  4. cookie的详细解释

    突然看到网页上中英文切换的效果,不明白怎么弄得查了查 查到了cookie 并且附有详细解释 就copy留作 以后温习 http://blog.csdn.net/xidor/article/detail ...

  5. tar命令的详细解释

    tar命令的详细解释 标签: linuxfileoutputbashinputshell 2010-05-04 12:11 235881人阅读 评论(12) 收藏 举报  分类: linux/unix ...

  6. Linux学习笔记15——GDB 命令详细解释【转】

    GDB 命令详细解释 Linux中包含有一个很有用的调试工具--gdb(GNU Debuger),它可以用来调试C和C++程序,功能不亚于Windows下的许多图形界面的调试工具. 和所有常用的调试工 ...

  7. C语言 - 结构体(struct)比特字段(:) 详细解释

    结构体(struct)比特字段(:) 详细解释 本文地址: http://blog.csdn.net/caroline_wendy/article/details/26722511 结构体(struc ...

  8. 姿势体系结构的详细解释 -- C

    我基本上总结出以下4部分: 1.问题的足迹大小. 2.字节对齐问题. 3.特别保留位0. 4.这种结构被存储在存储器中的位置. #include <stdio.h> #include &l ...

  9. Java - 面向对象(object oriented)计划 详细解释

    面向对象(object oriented)计划 详细解释 本文地址: http://blog.csdn.net/caroline_wendy/article/details/24058107 程序包括 ...

随机推荐

  1. java日期

    // 完整显示日期时间 String str = (new SimpleDateFormat("yyyy-MM-dd HH:mm:ss:SSS")).format(new Date ...

  2. 3. Linux常用系统状态检测命令

    1.ifconfig :于获取网卡配置与网络状态等信息,如网卡名称.IP.MAC等 2.uname -a :完整地查看当前系统的内核名称.主机名.内核发行版本.节点名.系统时间.硬件名称.硬件平台.处 ...

  3. DEDECMS:安装百度UEDITOR编辑器

    第一步:下载相对应编辑器的版本 首先,去百度搜索"百度ueditor编辑器",然后点击进入官网,找到下载页面.找到我们想要的编辑器的版本,看自己网站的编码是UTF-8还是GBK,下 ...

  4. 6127:Largest Average

    #include<bits/stdc++.h> using namespace std; int a[100001]; double ave[100001]; struct student ...

  5. Eclipse无法查看Servlet源代码的解决方案

    在Apache官方网站中选择你对应的tomacat版本下载对应的Tomcat的源码 下载Source Code Distributions下的zip 将下载的zip文件复制到lib文件夹下 在提示页面 ...

  6. P3128 [USACO15DEC]最大流Max Flow (树上差分)

    题目描述 Farmer John has installed a new system of N-1N−1 pipes to transport milk between the NN stalls ...

  7. STL中pair容器的用法

    1.定义pair容器 1 pair <int, int> p, p1; 2 //定义 [int,int] 型容器 //直接初始化了p的内容 pair<string,int>p( ...

  8. L2-013 红色警报 (25分) 并查集复杂度

    代码: 1 /* 2 这道题也是简单并查集,并查集复杂度: 3 空间复杂度为O(N),建立一个集合的时间复杂度为O(1),N次合并M查找的时间复杂度为O(M Alpha(N)), 4 这里Alpha是 ...

  9. 国产网络损伤仪 SandStorm -- 只需要拖拽就能删除链路规则

    国产网络损伤仪SandStorm可以模拟出带宽限制.时延.时延抖动.丢包.乱序.重复报文.误码.拥塞等网络状况,在实验室条件下准确可靠地测试出网络应用在真实网络环境中的性能,以帮助应用程序在上线部署前 ...

  10. spring再学习之AOP准备

    一.aop思想: 横向重复,纵向抽取 1.乱码 2.事务管理 3,action 二.spring能够为容器中管理的对象生成代理对象 1.spring能帮我们生成代理对象 2.spring实现aop的原 ...