Pourquoi utiliserait-on WHERE 1=1 AND <conditions> dans une clause SQL ?

Question

Pourquoi quelqu'un utiliserait-il WHERE 1=1 AND <conditions> dans une clause SQL (Soit du SQL obtenu par des chaînes concaténées, soit une définition de vue)

J'ai vu quelque part que cela serait utilisé pour se protéger contre l'injection SQL, mais cela semble très bizarre.

S'il y a injection WHERE 1 = 1 AND injected OR 1=1 aurait le même résultat que injected OR 1=1 .

Modification ultérieure : Qu'en est-il de l'utilisation dans une définition de vue ?

---

Merci pour vos réponses.

Quand même, Je ne comprends pas pourquoi quelqu'un utiliserait cette construction pour définir une vue, ou l'utiliserait dans une procédure stockée.

Prenons l'exemple suivant :

CREATE VIEW vTest AS
SELECT FROM Table WHERE 1=1 AND table.Field=Value

Answer 1

Si la liste des conditions n'est pas connue au moment de la compilation et qu'elle est plutôt construite au moment de l'exécution, vous n'avez pas à vous soucier de savoir si vous avez une ou plusieurs conditions. Vous pouvez les générer toutes de la même manière :

and <condition>

et les concaténer tous ensemble. Avec le 1=1 au départ, l'initiale and a quelque chose à quoi s'associer.

Je n'ai jamais vu ce produit utilisé pour une quelconque protection contre les injections, comme vous le dites, il ne semble pas que cela puisse aider beaucoup. I ont il est utilisé comme une commodité d'implémentation. Le moteur de requête SQL finira par ignorer l'élément 1=1 donc il ne devrait pas avoir d'impact sur les performances.

Answer 2

J'ajoute juste un exemple de code à la réponse de Greg :

dim sqlstmt as new StringBuilder
sqlstmt.add("SELECT * FROM Products")
sqlstmt.add(" WHERE 1=1") 

''// From now on you don't have to worry if you must 
''// append AND or WHERE because you know the WHERE is there
If ProductCategoryID <> 0 then
  sqlstmt.AppendFormat(" AND ProductCategoryID = {0}", trim(ProductCategoryID))
end if
If MinimunPrice > 0 then
  sqlstmt.AppendFormat(" AND Price >= {0}", trim(MinimunPrice))
end if

Answer 3

Je l'ai vu utilisé lorsque le nombre de conditions peut être variable.

Vous pouvez concaténer les conditions en utilisant une chaîne " AND ". Ensuite, au lieu de compter le nombre de conditions que vous faites passer, vous placez un "WHERE 1=1" à la fin de votre instruction SQL de base et vous lancez les conditions concaténées.

En gros, cela vous évite de devoir effectuer un test pour les conditions et d'ajouter une chaîne "WHERE" avant celles-ci.

Answer 4

Cela semble être une façon paresseuse de toujours savoir que votre clause WHERE est déjà définie et de vous permettre de continuer à ajouter des conditions sans avoir à vérifier si c'est la première.

Answer 5

L'expression 1 = 1 est couramment utilisée dans le code sql généré. Cette expression peut simplifier le code sql généré en réduisant le nombre de déclarations conditionnelles.