一、SQL Injection
在使用SQL语句,或Store Procedure的时候,为了保护数据,防止发生SQL Injection的危险,应该尽量避免拼接SQL语句。而应该采用bind variables的方式
二、请不要使用select *
避免select不必要的资料,这样会增加网络负担,磁盘I/O,内存和CPU的开销。甚至某些索引的优化手段失效
三、判断记录是否存在SQL (参考:http://tech.it168.com/a2011/0714/1218/000001218009.shtml )
常用的SQL是这样:
SELECT COUNT(col) FROM tablename WHERE col = colvalue;
读取COUNT(col)的值判断记录是否存在。对于这种方法性能上有些浪费,我们只是想判断记录记录是否存在,没有必要查出来。
更好的写法:
SELECT 1 FROM tablename WHERE col = colvalue LIMIT 1;
这里LIMIT 1,是MySQL的写法(其他的数据库请具体参考),这里LIMIT 1很重要。这要MySQL找到一条记录后就不会在往下找了。这里执行所影响的行数不是0就是1,性能提高了不少
四、SQL撰写规范
为了保证MySQL Query Cache能发挥应有的功能,不同人员写的SQL规范注意应该保持一致。比如说SQL的关键字全部大写,栏位和表名全部都小写。
五、不要在索引列上使用函数。
例如:
-- 这样写order_created栏位上建立的索引,将不会发生作用。
SELECT *
FROM orders
WHERE TO_DAYS(CURRENT_DATE()) – TO_DAYS(order_created) >=7;
-- 可以转写成:
SELECT order_id, customer_id,order_total,order_created
FROM orders
WHERE order_created >= ‘2012-02-17’ – INTERVAL 7 DAY;