风险SQL 规范及案例

已于 2023-06-12 21:28:17 修改
阅读量606 收藏
点赞数
分类专栏: 规则和规范 文章标签: sql 数据库
于 2023-06-04 17:56:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_38068812/article/details/129340080
版权

一、 原则

1、程序处理优先:数据库最容易也通常是一个系统的瓶颈,因此不要给数据库加压力,能够程序处理就程序处理。
2、简单操作数据库:一个系统越简单越稳定越不容易出问题, 因此要尽量简单使用数据库, 如SQL简单,事务小
3、数据存储评估:数据库资源宝贵,是很难水平扩容的, 要水平扩容动作是很大的, 出了故障影响也是很大的, 不像应用可以很容易水平扩容。因此不要什么都往里面保存, 要预估好数据量
4、对数据负责:自己的数据负责,DBA只是管理。出现高负载,慢SQL,,还是开发人员自己花时间修 改程序与优化, 因此不要想着DBA给提供性能更强的机器与扩容硬盘来解决问题

二、 建表设计规范

1、建表时根据业务需求和操作频率评估,建立索引在这里插入图片描述

优化:

  • 每个表都要有create_time, update_time字段,create_time timestamp NOT NULL DEFAULT CURRENT_TIMESTAMP COMMENT ‘创建时间’, update_time timestamp NOT NULL DEFAULT CURRENT_TIMESTAMP ON UPDATE CURRENT_TIMESTAMP COMMENT ‘创建时间’。都加索引,业务一般都会使用到,也方便查问题。备注: create_time可以视情况加不加索引,如果遇到排序,则要加索引。
  • 表中已经存在大量数据的前提下,为某个字段段建立索引,会导致锁表,创建索引执行时间长,影响业务
2、一个表数据量最好不要超过500万行,超过1000w行,要考虑分库分表,索引也对提高性能有限在这里插入图片描述
3、 反范式设计:把经常需要join查询的字段,在其他表里冗余一份。如user_name属性在user_account,user_login_log等表里冗余一份,减少join查询
4、保存相同数据的字段在不同的表,其命名与类型要一致。例如user_id在t_user表为bigint则在t_user_login也要为user_id bigint。严禁使用不同类型, 这在join语句中会引起类型转换,导致使用不了索引
5、其他常见:略

三、风险违规—优化案例总结

1、风险违规项:limit更新删除在这里插入图片描述

优化: 必须要小批量变更, 一次不要超过1000行。禁用update | delete t1 … where a=XX limit XX; 这种带limit的更新语句。因为会导致主从不一致,导致数据错乱。建议加上order by id 或者根据主键锁定范围更新

2、 风险违规项:隐式转换
查询列发生隐式或显示的类型转换,查询列是什么字段类型,列的值就应该用什么字段类型,否则会导致发生类型转换而使用不到引在这里插入图片描述
3、风险违规项:使用函数或表达式
优化:严禁where条件字段使用函数或表达式,否则无法利用索引 : 如where date_format(update_time, ‘%Y-%m-%d’)=’2019-09-09’,在这里插入图片描述
4、风险违规项: 不同字段where条件使用or
优化:不同字段where条件or尽量用union代替

在这里插入图片描述

5、风险违规项:同字段where条件使用or
优化:严禁同字段where条件使用or,请使用 in(in通常是走索引的,当in后面的数据在数据表中超过30%的匹配时,会走全表扫描,即不走索引,因此in走不走索引和后面的数据有关系)。在MySQL数据中,截止5.7.18版本,对IN子查询,仍要慎用在这里插入图片描述
徒步远方999
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SQL注入风险小例
zhiguo2010的专栏
07-18 1873
在asp程序中,如果我们的程序设计不当,就有可能面临数据库被别人控制的危险 以下是一个简单的用户更改密码的代码 --------------------- username=request("user_name") pwd=request("pwd") username=replace(username,"'","''") pwd=replace(pwd,"'","''") sql="update tbl_test set pwd='" & pwd & "' where uid='" & username
测试 SQL危险 | 切勿掉以轻心
Navicat 官方账号
07-19 227
千万不要因为你“理解”你的代码就认为不会发生坏事。这个想法是疯狂的。你可能会暂时摆脱不好的事,甚至是好一阵子。尽管如此,总有一天事情会变坏。当真的发生了,就会变得非常糟糕。.........
数据库中级教程:第五讲 数据库安全之一SQL注入风险分析
红孩儿编程大师
12-08 529
数据库中级教程:第五讲 数据库安全之一SQL注入风险分析 对于数据库开发来说,SQL语句的注入的安全风险是必须被关注的一个开发点。 对于DB2,Oracle,sql server ,mysql数据库都会面临这个问题。 高风险的应用场景是各种查询的参数传递过程。众所周知的是,在页面上填写的查询条件 最终会成为SQL查询语句的一部分。因此恶意用户可以精心设计特定的查询参数,以达到 入侵的目的。 应对SQL注入的方法是必须严格检查查询的参数,在客户端与服务器端都进行相应的检查, 一方面要限定输入的字符.
深入SQLite,一网打尽“危险操作”
weixin_34372728的博客
07-05 98
简述 Sqlite Database是一个比较稳定轻量的小型数据库,不像是mysql、oracle等数据库一样具有单独的服务进程。基于sqlite的读写都是读写原始的磁盘文件,也就是说sqlite的操作完全是磁盘的IO操作。SQLite操作存在一定的异常情况,在客户端也难以监控,在用户基数比较大的情况下,往往对极少数的用户的影响也是致命的。了解sqlite便于我们规范的去使用它。 通常的异常情况都...
Mybatis中会引起sql注入风险的问题
最新发布
flytalei的博客
06-12 2144
风险漏洞是我驻场的公司(ciccwm)在一次安全漏铜检查中提出,我在此作为引用,特此声明。
SQL审核与开发规范
12-06
### SQL审核与开发规范 #### 一、引言 随着数据量的日益增长和技术的不断发展,数据库管理系统在现代企业的IT架构中扮演着越来越重要的角色。为了确保数据的安全性、一致性和完整性,制定一套完整的SQL审核与开发...
华为编程开发规范案例
11-25
《华为编程开发规范案例》是一份针对软件工程师和开发者的重要参考资料,旨在提供一套系统性的编程规范和实际案例,以提升代码质量、提高开发效率,确保软件工程项目的顺利进行。这份资源涵盖了华为在软件开发过程...
SQL注入和XSS跨站攻击安全规范1
08-08
SQL注入】 SQL注入是一种常见的网络安全威胁,发生在应用程序未能充分验证或转义用户输入,导致恶意SQL命令得以执行在数据库上。...通过遵循上述规范和实践,可以显著降低Web应用遭受此类攻击的风险
Java代码审计案例及修复
12-22
Java 代码审计案例及修复旨在提供一个 Java 代码审计的实践指南,涵盖了 Java 代码审计的基本概念、安全编码规范、漏洞示例和修复方法等内容。 安全编码规范 在 Java 编程中,安全编码规范是非常重要的,它可以...
报表的 SQL 植入风险
Sxb_Cry5tal的博客
12-25 47
[第七期] 报表的 SQL 植入风险.pdf
explain分析哪些危险sql操作
Yangyg_0818的博客
02-12 503
一、没有索引的情况 EXPLAIN SELECT * from article where cid=60 and state=1 ORDER BY pageView desc limit 1; 解释:using filesort是mysql对数据使用一个外部的索引排序,不是按照表内索引顺序读取,mysql中无法利用索引完成的排序操作叫文件排序(言外之意:没有按照内部规则执行,mysql另起...
sql 注入风险
anzhilan7823的博客
07-16 2477
目录 sql 注入风险 什么是sql注入呢? 查看sql注入风险 如何避免 sql 注入风险 pymysql 简单规避注入风险示列 sql 注入风险 什么是sql注入呢? 参考百度 查看sql注入风险 准备材料 #创建一个用户表 cr...
sql注入实例分析
weixin_30624825的博客
07-23 3446
什么是SQL注入攻击?引用百度百科的解释: sql注入_百度百科: 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执...
报表的 SQL 注入风险是什么意思?如何防范?
xiaohuihui_1992的博客
07-20 1352
啥是 SQL 注入风险数据库要执行 SQL 访问数据,数据库是个执行机构,它只会检查传来的 SQL 是不是合乎语法,而并不会关心这个语句是否会造成伤害(数据泄露或破坏)。正因为只要符合语法规则就会执行的机制,导致 SQL 有了注入的风险SQL 本身就是个字符串,而且一般没有加密,字符串可能被黑客劫持修改,这样就可能造成数据库执行了不该执行的动作。 SQL 注入的惯用做法是通过把 SQL 子串插入到 Web 表单项或页面请求(Url)的查询字符串中提交,最终达到欺骗服务器执行恶意操作的目的。 常见案
SQL语句规避拼接风险的转换方式
New4eva的博客
12-08 356
SQL语句规避拼接风险的转换方式 List<Example> ExampleList= null; try { String sql =" select * from demo where status!=-1"; if (StringUtils.isNotEmpty(example)) { sql+=" and example='"+example+"'"; } Exa
检测是否有Sql危险字符
热门推荐
希望能找到你的答案
03-05 12万+
#region IsSafeSqlString 检测是否有Sql危险字符 /// &lt;summary&gt; /// 检测是否有Sql危险字符 /// &lt;/summary&gt; /// &lt;param name="targetString"&gt;目标字符串&lt;/param&gt; ...
云计算之MySQL运维中的危险操作
mx_steve的博客
03-01 791
1、MySQL无备份、备份无校对。 2、执行rm -rf / tmp 等类似操作,执行rm 前要三思。 3、执行kill -9等操作 4、binlog 非row格式,执行dml操作(update、delete) row:记录sql操作 statement:记录上下文信息 mixed:两者结合 选择row或者mixed格式 5、在生产环境执行测试命令。或在生产环境直接...
SQL注入风险高,手写 SQL 须谨慎
古时的风筝
01-07 2006
SQL注入风险高,手写 SQL 须谨慎。
MyBatis $和#区别及SQL注入风险
hotdogzsq的专栏
04-22 1299
MyBatis $和#区别及SQL注入风险mybatis中$和#参数区别generator 代码生成工具的SQL注入风险 mybatis中$和#参数区别 MyBatis支持两种参数符号,一种是#,另一种是KaTeX parse error: Expected 'EOF', got '#' at position 13: 。 使用参数符号#̲的句子: SELECT *…时,MyBatis...
SQL审核与开发规范实践
"SQL审核与开发规范,包括数据库选型,规范制定的原因,实施步骤,以及具体的SQL和PL/SQL开发规范,强调了绑定变量的重要性,并提供了Oracle绑定变量的使用案例。" 在IT行业中,SQL审核与开发规范是确保数据库性能...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值