SQL中WHERE语句的语法?

where

id

=

1

and

(sno

=

xxx

or

1

=

1)

用这试一下，sql注入的做法.

可是我要的是当sno没值传进来的时候就永远成立，有值传进来就要判断的

这个恐怕做不到。

只能做到说是给sno一个默认值（一个sno永远不可能的值），然后没有参数进来的时候，程序自然去判断1=1从而忽略掉sno

=

xxxx,

不去判断后面的sno

=xxx，

如果有参数进来的时候，程序首先判断sno

=

传递来得值，而忽略后面的1=1。

因此必须确保or前后的语句的次序以实现这个

select

*

from

table

where

id=1

and

(sno

=

xx

or

1

=

1)

sql注入个人能力范围内只能到这个程度了。

关于数据库中select...from....where....表示的意思分别如下：

select的后面表示筛选的内容，from的后面表示筛选内容来自的位置，where的后面表示筛选的条件。

例如：SELECT * FROM T WHERE C1如'wiki％raid'，此 *** 作语言的返回结果为wiki10或wikipedia100。

SELECT语句内部各组成部百分的理论计算顺序如下：

1、FROM的表连接；

2、WHERE子句过滤出符合条件的行集；

3、GROUP BY子句对行集中的行进行分组和合并，以便多行对应于结果集中的一行；

4、使用HAVING子句从中间结果中筛选出满足条件的行集。

扩展资料：

数据 *** 作语言是完成数据 *** 作的命令，通常分为两种类型的数据 *** 作。

1、数据检索问题（通常称为查询）：查找所需的特定数据。

2、数据修改：插入，删除和更新数据。

数据 *** 作语言通常由INSERT（插入），DELETE（删除），UPDATE（更新），SELECT（检索，也称为查询）等组成。由于SELECT通常被使用，因此通常称为查询（检索） ）的语言和答案分开显示。

第一种写法是正确的。

当然你如果条件多了，还可以加（）如：select＊fromtbwhere（a字段＝＇x＇ora字段＝＇y＇）andb字段＝＇zzz＇。

结构化查询语言（StructuredQueryLanguage）简称SQL，是一种特殊目的的编程语言，是一种数据库查询和程序设计语言，用于存取数据以及查询、更新和管理关系数据库系统。SQL使用单引号来环绕文本值（大部分数据库系统也接受双引号）。

文本值：这是正确的：SELECT＊FROMPersonsWHEREFirstName＝＇Bush＇。这是错误的：SELECT＊FROMPersonsWHEREFirstName＝Bush。

---