Dlaczego ktoś miałby używać GDZIE 1 = 1 ORAZ <warunki> w klauzuli SQL?

Dlaczego ktoś miałby używać WHERE 1=1 AND <conditions>klauzuli SQL (albo SQL uzyskany przez połączone łańcuchy, albo zobacz definicję)

Widziałem gdzieś, że byłoby to użyte do ochrony przed SQL Injection, ale wydaje się to bardzo dziwne.

Gdyby zastrzyk WHERE 1 = 1 AND injected OR 1=1miał taki sam wynik jak injected OR 1=1.

Późniejsza edycja: co z użyciem w definicji widoku?

Dziękuję Ci za Twoje odpowiedzi.

Nadal nie rozumiem, dlaczego ktoś miałby użyć tej konstrukcji do zdefiniowania widoku lub użyć jej w procedurze przechowywanej.

Weźmy na przykład:

CREATE VIEW vTest AS
SELECT FROM Table WHERE 1=1 AND table.Field=Value

Jeśli lista warunków nie jest znana w czasie kompilacji i zamiast tego jest budowana w czasie wykonywania, nie musisz się martwić, czy masz jeden, czy więcej niż jeden warunek. Możesz wygenerować je wszystkie w następujący sposób:

and <condition>

i połączyć je wszystkie razem. Z 1=1na początku, początkowa andma coś do obcowania z.

Nigdy nie widziałem tego używanego do jakiejkolwiek ochrony przed wstrzyknięciem, ponieważ mówisz, że nie wydaje się, aby to bardzo pomogło. Ja nie widziałem go stosować jako wygody realizacji. Mechanizm zapytań SQL zostanie zignorowany, 1=1więc nie powinien mieć wpływu na wydajność.

Wystarczy dodać przykładowy kod do odpowiedzi Grega:

dim sqlstmt as new StringBuilder
sqlstmt.add("SELECT * FROM Products")
sqlstmt.add(" WHERE 1=1") 

''// From now on you don't have to worry if you must 
''// append AND or WHERE because you know the WHERE is there
If ProductCategoryID <> 0 then
  sqlstmt.AppendFormat(" AND ProductCategoryID = {0}", trim(ProductCategoryID))
end if
If MinimunPrice > 0 then
  sqlstmt.AppendFormat(" AND Price >= {0}", trim(MinimunPrice))
end if

Widziałem to używane, gdy liczba warunków może być zmienna.

Możesz konkatenować warunki, używając ciągu „AND”. Następnie zamiast zliczać liczbę warunków, które przechodzisz, umieszczasz „WHERE 1 = 1” na końcu swojej podstawowej instrukcji SQL i rzucasz konkatenowane warunki.

Zasadniczo oszczędza to konieczności przeprowadzania testu warunków, a następnie dodawania przed nimi łańcucha „GDZIE”.

Wydaje się to leniwym sposobem, aby zawsze wiedzieć, że twoja klauzula WHERE jest już zdefiniowana i pozwala ci dodawać warunki bez konieczności sprawdzania, czy jest to pierwsza.

Pośrednio istotne: gdy stosuje się 1 = 2:

CREATE TABLE New_table_name 
as 
select * 
FROM Old_table_name 
WHERE 1 = 2;

spowoduje to utworzenie nowej tabeli o takim samym schemacie jak stara tabela. (Bardzo przydatne, jeśli chcesz załadować dane do porównań)

Wyrażenie 1 = 1 jest powszechnie używane w generowanym kodzie SQL. To wyrażenie może uprościć generowanie kodu SQL, zmniejszając liczbę instrukcji warunkowych.

W rzeczywistości widziałem tego rodzaju rzeczy używane w raportach BIRT. Zapytanie przekazane do środowiska wykonawczego BIRT ma postać:

select a,b,c from t where a = ?

i „?” w czasie wykonywania jest zastępowany rzeczywistą wartością parametru wybraną z rozwijanego pola. Opcje w menu rozwijanym są podane przez:

select distinct a from t
union all
select '*' from sysibm.sysdummy1

aby uzyskać wszystkie możliwe wartości plus „ *”. Jeśli użytkownik wybierze „ *” z listy rozwijanej (co oznacza, że ​​należy wybrać wszystkie wartości a), zapytanie musi zostać zmodyfikowane (przez Javascript) przed uruchomieniem.

Od „?” jest parametrem pozycyjnym i MUSI pozostać tam, aby działały inne rzeczy, JavaScript modyfikuje zapytanie tak, aby było:

select a,b,c from t where ((a = ?) or (1==1))

To w zasadzie usuwa efekt klauzuli where, jednocześnie pozostawiając parametr pozycyjny na miejscu.

Widziałem także przypadek AND używany przez leniwych programistów podczas dynamicznego tworzenia zapytania SQL.

Załóżmy, że musisz dynamicznie utworzyć zapytanie, które zaczyna się select * from ti sprawdza:

• nazywa się Bob; i
• wynagrodzenie wynosi> 20 000 $

niektórzy dodaliby pierwszą z GDZIE, a kolejną z AND:

select * from t where name = 'Bob' and salary > 20000

Leniwi programiści (i to niekoniecznie zła cecha) nie rozróżnią dodanych warunków, zaczną od select * from t where 1=1i po prostu dodadzą klauzule AND.

select * from t where 1=1 and name = 'Bob' and salary > 20000

Przydał mi się ten wzór podczas testowania lub podwójnego sprawdzania rzeczy w bazie danych, dzięki czemu mogę bardzo szybko skomentować inne warunki:

CREATE VIEW vTest AS
SELECT FROM Table WHERE 1=1 
AND Table.Field=Value
AND Table.IsValid=true

zamienia się w:

CREATE VIEW vTest AS
SELECT FROM Table WHERE 1=1 
--AND Table.Field=Value
--AND Table.IsValid=true

gdzie 1 = 0, Odbywa się to w celu sprawdzenia, czy tabela istnieje. Nie wiem, dlaczego użyto 1 = 1.

Chociaż widzę, że 1 = 1 przydałby się w wygenerowanym SQL, techniką, której używam w PHP jest utworzenie tablicy klauzul, a następnie wykonanie

implode (" AND ", $clauses);

w ten sposób unikając problemu posiadania wiodącego lub końcowego AND. Oczywiście jest to przydatne tylko wtedy, gdy wiesz, że będziesz mieć co najmniej jedną klauzulę!

Oto ściśle powiązany przykład: użycie MERGEinstrukcji SQL do zaktualizowania tabeli docelowej przy użyciu wszystkich wartości z tabeli źródłowej, w której nie ma wspólnego atrybutu, na którym można by dołączyć, np.

MERGE INTO Circles
   USING 
      (
        SELECT pi
         FROM Constants
      ) AS SourceTable
   ON 1 = 1
WHEN MATCHED THEN 
  UPDATE
     SET circumference = 2 * SourceTable.pi * radius;

Dlaczego ktoś miałby używać GDZIE 1 = 1 ORAZ <proper conditions>

Ja widziałem ramy fałszem robić rzeczy tak ( rumieniec ), gdyż pozwala to na leniwe praktyki parsowanie być stosowane zarówno do WHEREi ANDsłów kluczowych SQL.

Na przykład (używam C # jako przykładu tutaj), rozważ warunkowe analizowanie następujących predykatów w zapytaniu Sql string builder:

var sqlQuery = "SELECT * FROM FOOS WHERE 1 = 1"
if (shouldFilterForBars)
{
    sqlQuery = sqlQuery + " AND Bars > 3";
}
if (shouldFilterForBaz)
{
    sqlQuery = sqlQuery + " AND Baz < 12";
}

„Korzyść” WHERE 1 = 1oznacza, że ​​nie jest potrzebny żaden specjalny kod:

• Dla AND - czy zero, należy zastosować jeden lub oba predykaty (słupki i Baz), które określą, czy pierwszy ANDjest wymagany. Ponieważ mamy już co najmniej jeden predykat z 1 = 1, oznacza to, że ANDzawsze jest OK.
• W przypadku braku predykatów - w przypadku, gdy istnieją predykaty ZERO, WHEREnależy je usunąć. Ale znowu możemy być leniwi, ponieważ znów jesteśmy gwarancją co najmniej jednego orzeczenia.

Jest to oczywiście zły pomysł i zaleciłby użycie ustalonej struktury dostępu do danych lub ORM do analizowania opcjonalnych i warunkowych predykatów w ten sposób.

Jeśli przyszedłeś tu szukać WHERE 1, zauważ to WHERE 1i WHERE 1=1są identyczne. WHERE 1jest używany rzadko, ponieważ niektóre systemy baz danych odrzucają go, ponieważ WHERE 1nie są tak naprawdę boolowskie.

Jest to przydatne w przypadku, gdy trzeba użyć zapytania dynamicznego, w którym w klauzuli należy dołączyć niektóre opcje filtrowania. Tak jak w przypadku włączenia opcji 0 dla statusu jest nieaktywny, 1 dla aktywnego. Oparte na opcjach, są tylko dwie dostępne opcje (0 i 1), ale jeśli chcesz wyświetlić Wszystkie rekordy, dobrze jest umieścić w miejscu, gdzie close 1 = 1. Zobacz próbkę poniżej:

Declare @SearchValue    varchar(8) 
Declare @SQLQuery varchar(max) = '
Select [FirstName]
    ,[LastName]
    ,[MiddleName]
    ,[BirthDate]
,Case
    when [Status] = 0 then ''Inactive''
    when [Status] = 1 then ''Active''
end as [Status]'

Declare @SearchOption nvarchar(100)
If (@SearchValue = 'Active')
Begin
    Set @SearchOption = ' Where a.[Status] = 1'
End

If (@SearchValue = 'Inactive')
Begin
    Set @SearchOption = ' Where a.[Status] = 0'
End

If (@SearchValue = 'All')
Begin
    Set @SearchOption = ' Where 1=1'
End

Set @SQLQuery = @SQLQuery + @SearchOption

Exec(@SQLQuery);

Po przejrzeniu wszystkich odpowiedzi postanowiłem przeprowadzić eksperyment

SELECT
*
FROM MyTable

WHERE 1=1

Potem sprawdziłem z innymi numerami

WHERE 2=2
WHERE 10=10
WHERE 99=99

ect Po wykonaniu wszystkich kontroli miasto uruchomione w zapytaniu jest takie samo. nawet bez klauzuli where. Nie jestem fanem składni

Robię to zwykle, gdy buduję dynamiczny SQL dla raportu, który ma wiele wartości rozwijanych, które użytkownik może wybrać. Ponieważ użytkownik może lub nie może wybrać wartości z każdego menu rozwijanego, w rezultacie trudno nam ustalić, który warunek był pierwszą klauzulą ​​where. Wypełniamy więc zapytanie where 1=1na końcu znakiem i dodajemy wszystkie klauzule where po tym.

Coś jak

select column1, column2 from my table where 1=1 {name} {age};

Następnie zbudujemy taką klauzulę where i przekażemy ją jako wartość parametru

string name_whereClause= ddlName.SelectedIndex > 0 ? "AND name ='"+ ddlName.SelectedValue+ "'" : "";

Ponieważ wybór klauzuli where nie jest nam znany w czasie wykonywania, pomaga nam to w ustaleniu, czy dołączyć 'AND' or 'WHERE'.

Użycie predykatu podobnego 1=1jest normalną wskazówką, która czasami jest używana do wymuszenia, aby plan dostępu używał lub nie korzystał ze skanowania indeksu. Powodem tego jest użycie wielo-zagnieżdżonego zapytania połączonego z wieloma predykatami w klauzuli where, w którym czasami nawet użycie wszystkich indeksów powoduje, że plan dostępu odczytuje każdą tabelę - pełne skanowanie tabeli. Jest to tylko jedna z wielu wskazówek używanych przez DBA, aby oszukać dbms w celu użycia bardziej wydajnej ścieżki. Po prostu nie wrzucaj jednego; potrzebujesz dba do analizy zapytania, ponieważ nie zawsze działa.

Oto przypadek użycia ... jednak nie martwię się zbytnio o szczegóły techniczne, dlaczego powinienem używać 1 = 1. Piszę funkcję, używając pyodbc do pobierania niektórych danych z SQL Server. Szukałem sposobu wymuszenia wypełniacza po wheresłowie kluczowym w moim kodzie. To była naprawdę świetna sugestia:

if _where == '': _where = '1=1'
...
...
...
cur.execute(f'select {predicate} from {table_name} where {_where}')

Powodem jest to, że nie mogłem zaimplementować słowa kluczowego „where” razem w zmiennej klauzula _where. Tak więc myślę, że użycie dowolnego warunku fikcyjnego, który ma wartość true, może być wypełniaczem.

Po raz pierwszy natknąłem się na to z ADO i klasycznym boleniem, odpowiedź dostałem: wydajność. jeśli zrobisz strita

Select * from tablename

i przekaż to jako polecenie / tekst sql, otrzymasz zauważalny wzrost wydajności dzięki

Where 1=1

dodano, to była widoczna różnica. coś wspólnego z zwracaniem nagłówków tabel, gdy tylko pierwszy warunek zostanie spełniony, lub jakimś innym szaleństwem, co przyspieszyło sprawę.