java编码规范

安全规约
1、（强制）属于用户个人的页面或者功能必须要进行权限控制校验。防止没有权限校验就可随意修改、删除、访问别人的数据。
2、（强制）用户敏感数据禁止直接展示，必须对展示数据进行脱敏，例如手机号、身份证号等。
3、（强制）用户输入的SQL参数严格使用参数绑定或者METADATA字段值限定，防止SQL注入，禁止字符串拼接SQL访问数据库。（写sql少用或不用doller{}）
4、（强制）用户请求传入的任何参数必须做有效性验证。防止page size过大导致内存溢出、恶意order by导致数据库慢查询、任意重定向、sql注入、反序列化注入
5、（强制）禁止向html页面输出未经安全过滤或未正确转义的用户数据。
6、（强制）表单、AJAX提交必须执行CSRF安全验证。说明: CSRF跨站请求伪造是一类常见编程漏洞。 对于存在CSRF漏洞的应用/网站，攻击者可以事先构造好URL ，只要受害者用户一访问，后台便在用户不知情的情况下对数据库中用户参数进行相应修改。
7、（强制）在使用平台资源,譬如短信、邮件、电话、下单、支付,必须实现正确的防重放的机制,如数量限制、疲劳度控制、验证码校验,避免被滥刷而导致资损。
8、（推荐）发贴、评论、发送即时消息等用户生成内容的场景必须实现防刷、文本内容违禁词过滤等风控策略。
MySQL数据库（建表规约）
1、（强制）表达是与否概念的字段,必须使用is_xxx的方式命名,数据类型是unsigned tinyint(1表示是,0表示否)。
2、（强制）表名、字段名必须使用小写字母或数字,禁止出现数字开头,禁止两个下划线中间只出现数字。数据库字段名的修改代价很大,因为无法进行预发布,所以字段名称需要慎重考虑。
3、（强制）表名不使用复数名词。
4、（强制）禁用保留字命名，如desc、range、match、delayed等
5、（强制）主键索引名为pk_字段名;唯一索引名为uk_字段名;普通索引名则为idx_字段名。
6、（强制）小数类型为decimal，禁止使用float和double。float和double都存在精度损失的问题，很可能在比较值的时候，得到不正确的结果。如果存储的数据范围超过decimal 的范围，建议将数据拆成整数和小数并分开存储。
7、（强制）如果存储的字符串长度几乎相等,使用char定长字符串类型。
8、（强制）varchar 是可变长字符串,不预先分配存储空间,长度不要超过5000 ,如果存储长度大于此值,定义字段类型为text ,独立出来一张表 ,用主键来对应,避免影响其它字段索
引效率。
9、（强制）表必备三字段：id、create_time、update_time。
10、（推荐）表的命名最好是遵循“业务名称_表的作用”，看起来比较清晰方便。
11、（推荐）库名与应用名称尽量一致。
12、（推荐）如果修改字段含义或对字段表示的状态追加时,需要及时更新字段注释。
13、（推荐）字段允许适当冗余，以提高查询性能，但必须考虑数据一致。冗余字段应遵循：不是频繁修改的字段、不是varchar超长字段，更不能是text字段、不是唯一索引的字段。
14、（推荐）单表行数超过500万行或者单表容量超过2GB，才推荐进行分库分表。
15、（参考）合适的字符存储长度,不但节约数据库表空间、节约索引存储,更重要的是提升检索速度。
MySQL数据库（索引规约）
1、（强制）业务上具有唯一特性的字段，即使是多个字段的组合，也必须建成唯一索引。
2、（强制）超过三个表禁止join。需要join的字段,数据类型必须绝对一致; 多表关联查询时,保证被关联的字段需要有索引。
3、（强制）在varchar字段上建立索引时，必须指定索引长度，没必要对全字段建立索引，根据实际文本区分度决定索引长度即可。
4、（强制）页面搜索严禁左模糊或者全模糊,如果需要请走搜索引擎来解决。
5、（推荐）如果有order by的场景,请注意利用索引的有序性。order by最后的字段是组合索引的一部分,并且放在索引组合顺序的最后,避免出现file_sort的情况,影响查询性能。
6、（推荐）利用覆盖索引来进行查询操作,避免回表。
7、（推荐）利用延迟关联或者子查询优化超多分页场景。
8、（推荐）SQL 性能优化的目标:至少要达到range 级别,要求是ref级别,如果可以是consts最好。
9、（推荐）建组合索引的时候，区分度最高的在最左边。
10、（推荐）关联表字段的类型必须一致，防止索引失效。
MySQL数据库（SQL语句）
1、（强制）不要使用count(列名)或count(常量)来替代count()，count()是SQL92定义的
标准统计行数的语法,跟数据库无关,跟NULL和非NULL无关。
2、（强制） count(distinct col)计算该列除NULL之外的不重复行数,注意count(distinct
col1, col2)如果其中一列全为NULL ,那么即使另一列有不同的值,也返回为0。
3、（强制）当某-一列的值全是NULL时, count(col)的返回结果为0 ,但sum(col)的返回结果为NULL ,因此使用sum()时需注意NPE（空指针）问题。正例:使用如下方式来避免sum的NPE问题: SELECT IFNULL(SUM(column), 0) FROM table;
NPE:NullPointerException编程语言中的空指针异常。
4、（强制）使用ISNULL()来判断是否为NULL值。
5、（强制）代码中写分页查询逻辑时,若count为0应直接返回,避免执行后面的分页语句。
6、（强制）不得使用外键与级联,一切外键概念必须在应用层解决。
7、（强制）禁止使用存储过程,存储过程难以调试和扩展,更没有移植性。
8、（强制）数据订正(特别是删除、修改记录操作)时,要先select ,避免出现误删除,确认无误才能执行更新语句。
9、（推荐）in操作能避免则避免,若实在避免不了,需要仔细评估in后边的集合元素数量，控制在1000个之内。
10、（参考）如果有国际化需要，所有的字符存储与表示，均以utf-8编码，注意字符统计函数的区别。
11、（参考） TRUNCATE TABLE比DELETE 速度快,且使用的系统和事务日志资源少,但，TRUNCATE无事务且不触发trigger ,有可能造成事故,故不建议在开发代码中使用此语句.
MySQL数据库（ORM映射）
1、（强制）在表查询中, 一律不要使用*作为查询的字段列表,需要哪些字段必须明确写明。
2、（强制）POJO 类的布尔属性不能加is,而数据库字段必须加is_ ,要求在resultMap中进行字段与属性之间的映射。
3、（强制）不要用resultClass当返回参数,即使所有类属性名与数据库字段一一对应 ,也需要定义；反过来,每一个表也必然有一一个POJO类与之对应。
4、（强制） sql.xml 配置参数使用: #{} ,#param#不要使用doller{}此种方式容易出现SQL注入。
5、（强制） iBATIS 自带的queryForList(String statementName,int start,int size)不推荐使用。
6、（强制）不允许直接拿HashMap与Hashtable作为查询结果集的输出。
7、（强制）更新数据表记录时,必须同时更新记录对应的gmt_modified字段值为当前时间。