為什麼 MySQL 在搜尋'Field = 0”時傳回所有行？

理解意外的MySQL 行為：為什麼'mySQL returns all rows when field=0'

在查詢SQL 中，當使用條件表時當欄位等於0 時，您可能會遇到意外結果，即傳回所有行而不是無行。這可能會引發對數據準確性和安全性的擔憂。

問題原因

出現此行為的原因是 MySQL 在評估數值比較時將基於字串的欄位隱式轉換為整數。當字串不可轉換為整數時（例如您的情況中的“0”），它會傳回 0。因此，查詢實際上變為“WHERE email=0”，它與包含空或非數位電子郵件地址的所有行匹配，即使表中沒有明確的“0”值。

安全影響

此問題可能會產生嚴重的安全隱患，因為攻擊者可以利用它來繞過安全檢查。透過將目標記錄中的數字欄位設定為任何非數字值，他們基本上可以使條件無效並獲得對他們不應該擁有的資料的存取權。

避免問題

為了避免此問題，確保將字串欄位與字串值以及數字欄位與數值進行比較至關重要。在您的情況下，查詢應修改為：

SELECT * FROM table WHERE email='0';

透過將「0」括在單引號中，您指定應將其視為字串而不是整數。

其他注意事項

• 總是為列使用適當的資料類型，以防止意外轉換。
• 比較字串時，請考慮使用「LIKE」運算子而不是「 =' 匹配部分值或模式。
• 使用綁定參數的參數化查詢來防止SQL 注入攻擊。

以上是為什麼 MySQL 在搜尋'Field = 0”時傳回所有行？的詳細內容。更多資訊請關注PHP中文網其他相關文章！