首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
MySQL 5.5 Community Server
MySQL 5.6 Community Server
Percona Configuration Wizard
XtraBackup 搭建主从复制
Great Sites on MySQL
Percona
MySQL Performance Blog
Severalnines
推荐管理工具
Sequel Pro
phpMyAdmin
推荐书目
MySQL Cookbook
MySQL 相关项目
MariaDB
Drizzle
参考文档
http://mysql-python.sourceforge.net/MySQLdb.html
华为云
V2EX  ›  MySQL

用户名和密码验证,用 count 语句怎么样?

  •  
  •   woshilala1988 · 51 天前 · 734 次点击
    这是一个创建于 51 天前的主题,其中的信息可能已经有所发展或是发生改变。

    条件直接写 where username=1 and passwod=1 用 count 判断数量,等于 1 代表 OK,等于 0 代表不 OK

    这样的验证方式有什么弊端吗? 我看很多人都是用 username 对比数据库用户名 对上后再对比密码

    哪种方式好一点呢?

    9 回复  |  直到 2018-08-30 16:31:10 +08:00
        1
    CabalPHP   51 天前
    因为 username 会建唯一索引,只检索一个条件,速度很快

    然后程序再校验下密码就可以了,特别是 现在都不用 md5 存密码了,用 sha 存密码不能简单的用 = 条件判断

    这么做性能好,减轻瓶颈处的压力。
        2
    woshilala1988   51 天前
    @CabalPHP 感谢您的回复,意思是我这样的方式不适合 sha,只适合未加密或者 md5 的方式对吧.
    看来我的思想落伍了.
        3
    CabalPHP   51 天前
    @woshilala1988

    恩 还有就是索引和性能问题,即使是 md5,密码字段不用加索引,减轻数据库(索引)体积和写入速度。

    密码校验交给程序做,释放一点点 mysql 的压力
        4
    woshilala1988   51 天前
    @CabalPHP 好,感谢您的认真回复.
        5
    chinvo   51 天前 via iPhone
    惊了你数据库存明文的?

    过去用 and 的写法会有注入问题,比如 username 传进来一个 username=1 -- 后面的密码验证就会被跳过

    而 SQL 支持的 hash 函数有限,不够灵活
        6
    chinvo   51 天前 via iPhone
    另外 sha 也是可以直接等号判断的,但是 SQL 不一定支持(比如 sha256、sha512 目前支持度就不高),而 crypt、bcrypt 等自带盐的算法不能用等号
        7
    geelaw   51 天前
    SELECT PWHASH, SALT FROM USERS WHERE USERNAME=$ARG1

    然后 $ARG1 传入你的用户名,拿回 PWHASH 和 SALT,再检查 F(PW, SALT) ?= PWHASH。现在较好的 practice 是用很慢的 F,只能忍受算一次的时间。

    @chinvo #5 这个跟是不是 AND 没关系,只要是交给数据库接口传参即可。
        8
    ranoff   51 天前
    赞同#1,业务层的压力可以很容易的通过扩容解决,数据层就比较难办了
        9
    casztg   51 天前
    过来学习的,mark
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   869 人在线   最高记录 3762   ·  
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.1 · 22ms · UTC 23:52 · PVG 07:52 · LAX 16:52 · JFK 19:52
    ♥ Do have faith in what you're doing.
    沪ICP备16043287号-1