阿里巴巴代码规范
一. 安全规约
- 前端、后端接口进行权限和角色校验
- 展示敏感数据时需脱敏(用户个人手机号码:137****3927)
- SQL注入问题(字符串拼接访问数据库),#表示先编译后引用,$表示直接拼接SQL
- 验证用户传入的参数,可能出现的问题:
a) page size过大导致内存溢出
b) 恶意order by导致慢查询
c) 正则输入源串 - 表单、AJAX提交必须执行CSRF安全验证
- 在使用平台资源,譬如关心、电话、下单、支付时必须实现正确的防重放机制(平台登陆次数过多需要输入验证码,下单支付接口防重放可采用缓存交易或前端页面loading控制)
- 发帖、评论、发送即使消息等场景必须实现防刷、文本内容违禁词过滤等(鉴黄功能)
二.建表规约
- 是否概念字段,使用is_xxx命名,数据类型unsigned和tinyint(取非负数)。在pojo类中设置is_xxx和Xxx的映射关系
- 表名、字段名必须使用小写字母或数字 ,表名不使用复数名词
- 禁用保留字,保留字:desc、range、match、delayed
- 主键索引名为pk_字段名;唯一索引名uk_,普通索引名idx_ f) 小数类型为decimal,禁止使用float和double
- 如果存储的字符串长度几乎相等,使用char定长字符串类型。例如手机号
-
长度都超过5000后,独立出一张表后用text数据类型存取
- 表必备三字段:id,create_time,update_time j) 添加字段注释
- 冗余字段避免频繁修改的字段、不是varchar、不是唯一索引
三.索引规约
- 唯一特性的字段,即使是多个字段的组合,也必须建成唯一索引 组合索引遵循最左索引
- Join的字段数据类型必须一致;多表关联查询时关联字段必须有索引
- Varchar字段建立索引时必须指定索引长度(index_email(9)) 页面搜索严禁模糊或全模糊
- Orderby注意利用索引的有序性(where a= ?and b=? order by c;索引)
- 使用explain调试查询出sql语句使用了什么索引(用于检查sql)
四.SQL语句
- 不能使用count(列名)或者count(常量)代替count(*)
- Count和null和非null有关,返回非空记录数
- 使用sum()返回数据时,必须要使用ifnull(sum())代替计算
- 防止代码中出现空指针异常
- Isnull()判断是否为null值,null与任何值的比较都为null
- 代码中写分页查询逻辑时,若count为0时直接返回,避免执行后面的分页语句
- 不得使用外键和级联(在主键表更新一条id后,涉及外键的表需要同步更新)
- 数据订正,先使用select再进行更新、删除
- 推荐使用exists代替in
PDF说明文档:https://yq.aliyun.com/attachment/download/?id=2023