一、问题导向

今天在实现文件上传数据库测试中，发现了一个略微容易被问题。虽然业务层可以约束空字符串的传入。但是测试DAO数据层时，被同事发现，说我：“为什么不加1=0”。

请看问题。

如果用户账号为空，则有分页输出全部数据库表的隐患。

二、对策

1、在业务层约束account不为空并且不等于 “”。

如果在 account 为空并且"" 时，查询条件不被限制，这可能导致查询结果过于宽泛。查询的安全性和准确性就失效了。在MyBatis的xml文本中的if限制条件就失效了。

2、使用AND 1=0。

• AND 1=0：这是一个总是为假的条件，它会阻止查询返回任何结果。当 account 为空或 "" 时，这个条件会确保查询不会返回数据。

这种方法确保了即使在没有有效 account 的情况下，查询也不会返回所有记录，保持了查询的安全性。

三、代码如下

通过 SQL 语句来处理这种情况。你可以使用 CASE 语句或者添加额外的条件来确保当 account 为空或 "" 时，不返回任何数据。例如：

<select id="selectPngUrlByPage" resultMap="PngUrlMap">
    SELECT id, url, time, account, state, remark
    FROM png_url
    WHERE state = #{state}
    <if test="account != null and account != ''">
        AND account = #{account}
    </if>
    <if test="account == null or account == ''">
        AND 1=0  <!-- 永远不满足的条件 -->
    </if>
    ORDER BY time DESC
    LIMIT #{startIndex}, #{pageSize}
</select>