确定的WHERE语句失败

Question

哪一部分（S）比方说，我有这样的SQL语句来检查用户登录：

SELECT * FROM users 
WHERE username='test@example.com', password='abc123', expire_date>=NOW(); 

是否有SQL的方式来确定具体哪些WHERE条件达不到，不必须将每个条件分解为自己的查询并单独测试？

在这个特定的例子中，开发人员可以准确地告诉用户他们尝试登录失败的原因。

为了我的目的，我使用的是PHP/MySQL。

Answer 1

这里是我想出了：

SELECT 
    IF(mem_username='test@example.com','true','Error: Bad Username') AS mem_username, 
    IF(mem_password ='abc123','true','Error: Bad Password') AS mem_password' 
FROM MEMBERS 
WHERE mem_username='test@example.com' AND mem_password='abc123' 

这样我可以在代码中发现了错误信息，然后显示它们是必要的。

注意：对于大家引用示例代码的安全问题，感谢您的关注。但是，这不是真正的生产代码，这仅仅是一个简单的例子来证明我的问题。很明显，您不应该以明文形式存储密码，也不应该为用户提供关于登录失败原因的具体信息。

Answer 2

那么，你可以做的一件事就是改变你的查询，所以它只匹配用户名。然后在代码中检查密码和到期日期，返回适当的错误。

另外，我希望你的例子查询是一个简化;当然，你应该腌制/加密/散列你的密码，并且你应该包括一些限制在一定时间内失败的尝试次数等等......

就你的实际问题而言正在寻找），没有办法从where子句中获取该信息。你可以做最接近的将是这样的：

SELECT *, 
    CASE WHEN Password = 'asdf' THEN 1 ELSE 0 END AS IsPasswordMatch, 
    CASE WHEN Expiration >= NOW() THEN 1 ELSE 0 END AS IsActiveAccount 
FROM Users 
WHERE Username = 'user' 

Answer 3

不行，where子句被应用为块，以及各种技术被用来使得不是所有行先要进行扫描。另外，你怎么知道哪一行是所需的？

另外，您可能不想告诉用户太多关于登录尝试失败的原因。说太多就会导致诸如帐号挖掘和密码攻击等攻击。

编辑如果你真的不想要显示给你的用户，然后分裂你的逻辑分成不同的部分：

1. 验证身份
   操作：从数据库 获取相应的用户行
   结果：
   • 如果没有这样的行存在=>无效帐户
   • 如果返回行，继续步骤2
2. 验证凭证
   操作：检查所存储的凭证（密码，密码的散列或加密的密码）对以相同的方式处理提供的密码凭证被存储。
   结果：
   • 没有匹配=>无效的密码/凭据
   • 匹配=>成功登录尝试
3. 登录用户
   操作：将数据添加到会话等。

Answer 4

你可能只需要对部分分开与where子句“与”

SELECT * FROM users 
WHERE username='test@example.com' 
    And password='abc123' 
    And expire_date>=NOW(); 

Answer 5

在MySQL中，你可以把布尔表达式在选择列表中。布尔表达式的计算结果为true时为整数1，否则为false。

SELECT password = 'abc123' AS is_authenticated, 
     expire_date >= NOW() AS is_not_expired 
FROM users 
WHERE username='test@example.com'; 

注：如果你需要写上其他品牌的RDBMS的工作的查询，请记住这个使用布尔表达式的是非标准的。使用其他人发布的CASE语法。

PS：这是您的问题的切线，但我强烈建议您不要以明文形式存储密码。存储腌制密码的散列摘要。见How does password salt help against a rainbow table attack?