確定的WHERE語句失敗

Question

哪一部分（S）比方說，我有這樣的SQL語句來檢查用戶登錄：

SELECT * FROM users 
WHERE username='test@example.com', password='abc123', expire_date>=NOW(); 

是否有SQL的方式來確定具體哪些WHERE條件達不到，不必須將每個條件分解爲自己的查詢並單獨測試？

在這個特定的例子中，開發人員可以準確地告訴用戶他們嘗試登錄失敗的原因。

爲了我的目的，我使用的是PHP/MySQL。

Answer 1

這裏是我想出了：

SELECT 
    IF(mem_username='test@example.com','true','Error: Bad Username') AS mem_username, 
    IF(mem_password ='abc123','true','Error: Bad Password') AS mem_password' 
FROM MEMBERS 
WHERE mem_username='test@example.com' AND mem_password='abc123' 

這樣我可以在代碼中發現了錯誤信息，然後顯示它們是必要的。

注意：對於大家引用示例代碼的安全問題，感謝您的關注。但是，這不是真正的生產代碼，這僅僅是一個簡單的例子來證明我的問題。很明顯，您不應該以明文形式存儲密碼，也不應該爲用戶提供關於登錄失敗原因的具體信息。

Answer 2

那麼，你可以做的一件事就是改變你的查詢，所以它只匹配用戶名。然後在代碼中檢查密碼和到期日期，返回適當的錯誤。

另外，我希望你的例子查詢是一個簡化;當然，你應該醃製/加密/散列你的密碼，並且你應該包括一些限制在一定時間內失敗的嘗試次數等等......

就你的實際問題而言正在尋找），沒有辦法從where子句中獲取該信息。你可以做最接近的將是這樣的：

SELECT *, 
    CASE WHEN Password = 'asdf' THEN 1 ELSE 0 END AS IsPasswordMatch, 
    CASE WHEN Expiration >= NOW() THEN 1 ELSE 0 END AS IsActiveAccount 
FROM Users 
WHERE Username = 'user' 

Answer 3

不行，where子句被應用爲塊，以及各種技術被用來使得不是所有行先要進行掃描。另外，你怎麼知道哪一行是所需的？

另外，您可能不想告訴用戶太多關於登錄嘗試失敗的原因。說太多就會導致諸如帳號挖掘和密碼攻擊等攻擊。

編輯如果你真的不想要顯示給你的用戶，然後分裂你的邏輯分成不同的部分：

1. 驗證身份
   操作：從數據庫 獲取相應的用戶行
   結果：
   • 如果沒有這樣的行存在=>無效帳戶
   • 如果返回行，繼續步驟2
2. 驗證憑證
   操作：檢查所存儲的憑證（密碼，密碼的散列或加密的密碼）對以相同的方式處理提供的密碼憑證被存儲。
   結果：
   • 沒有匹配=>無效的密碼/憑據
   • 匹配=>成功登錄嘗試
3. 登錄用戶
   操作：將數據添加到會話等。

Answer 4

你可能只需要對部分分開與where子句「與」

SELECT * FROM users 
WHERE username='test@example.com' 
    And password='abc123' 
    And expire_date>=NOW(); 

Answer 5

在MySQL中，你可以把布爾表達式在選擇列表中。布爾表達式的計算結果爲true時爲整數1，否則爲false。

SELECT password = 'abc123' AS is_authenticated, 
     expire_date >= NOW() AS is_not_expired 
FROM users 
WHERE username='test@example.com'; 

注：如果你需要寫上其他品牌的RDBMS的工作的查詢，請記住這個使用布爾表達式的是非標準的。使用其他人發佈的CASE語法。

PS：這是您的問題的切線，但我強烈建議您不要以明文形式存儲密碼。存儲醃製密碼的散列摘要。見How does password salt help against a rainbow table attack?