SQLServer用戶登錄中的存儲過程

Question

我編寫登錄過程，用戶可以給用戶名或emailid登錄和密碼。我的程序是這樣的

create procedure users_login (@username varchar(50),@password varchar(50), 
    @emailid varchar(50),@ret int output) 
as 
    begin 
     select username,password,emailid from users where username=isnull(@username,null) or 
     emailid=isnull(@emailid,null) and [password]=@password 
     if(@@rowcount >0) 
      begin 
       set @ret=1 
      end 
     else 
      begin 
       set @ret=0 
      end 
    end 

是確定或修改任何有

Answer 1

在查詢本身有問題，你需要把括號圍繞or聲明，否則該語句將總是返回一行時的用戶名匹配的表：

SELECT username,password,emailid 
FROM users 
WHERE (username=isnull(@username,null) or emailid=isnull(@emailid,null)) 
     and [password]=@password 

其次，你不該不會以明文形式存儲密碼。請看這樣article on how to salt and hash your passwords

至於風格，我個人不會這樣做。正如其他人指出的，在這種情況下isnull（）與不使用它相同。您也可以通過在select語句中設置@ret來簡化@@ rowcount的使用。如果它沒有返回行，那麼它將不會被設置，因此它會達到相同的目的。

所以我把它寫成：

create procedure users_login (
           @username varchar(50), 
           @password varchar(50), 
           @emailid varchar(50), 
           @ret int output 
          ) 
as 
    begin 
     set @ret=0 
     select @ret=1 
     from users 
     where (username=isnull(@username,null) or emailid=isnull(@emailid,null) 
      and [password]=@password 
    end 

Answer 2

我不是一個SQL大師，所以有人可以告訴我什麼？

isnull(@username,null) 

。 ..是爲了完成？對我來說，這是equivelant @username

這是的Transact-SQL？難道你不能通過對@ret使用INSERT INTO語法並插入返回的行的COUNT來縮小SQL嗎？

你逃跑的用戶名，電子郵件和使用它與SQL之前從您的網站哈希密碼？