一个 SQL 同时验证帐号是否存在、密码是否正确

近日偶尔看到一个很巧妙的 SQL 技巧，一个简单的 SQL 同时验证帐号是否存在、密码是否正确。之前从未曾想过这么做，也未曾见过别人这么做。虽是奇技淫巧，却真正所谓构思巧妙。如果用来面试考考别人，真的能够难倒一大片兄弟。好东西不敢独享，特公开与大家同乐。

 

SELECT CASE WHEN p.encrypted_password =? THEN 1 ELSE 0 END

FROM tm_app_user u, tm_app_user_credential p

WHERE u.app_user_uuid = p.app_user_uuid

AND (LOWER(u.user_sign_in_nm) = ? OR LOWER(u.email) = ?)

 

解释：

a. 如果用户名不存在，则查询结果是无数据

b. 如果用户名存在，而密码不正确，则返回 0

c. 如果用户名存在，而密码正确，则返回 1

 

之所以把密码单独用一个表保存，是因为用户的其他信息（用户名、邮件、电话）与密码是两种不同性质的东西，系统架构师决定分开保存，有助于提醒程序员这种差别: 用户的其他信息可以查看，密码不能查看；用户的其他信息更改时可以看到更改前的数据，密码更改时不能看到更改前的数据；修改用户密码与修改用户其他信息，是两个不同页面。

 

虽说程序员普遍有“文人相轻”的毛病(读书人互相瞧不起)，但看到这个 SQL，不能不让人佩服。

 

我已经将这种技巧，用于我们的折桂单点登录系统(http://zheguisoft.com)。下一 release 版本将会用上。

引用

Vanoin：
第一：正如一楼所说这是一段很普通的SQL，把多个功能浓缩成一个查询并不是最佳，多考虑下查询性能；
第二：这样的功能对于登录来说，从安全性角度不实际，反而让不怀好意的用户提供了便利，这也是为什么很少人这么做，简单提示“用户名或密码不正确”已经足够了。

第一，这个 SQL 难道有性能问题？问题在哪里？
第二，后台代码和前台提示，难道是一一对应的？后台代码对不同的结果，写不同的日志，前台统一提示“用户名或密码不正确”，难道不可以？