Java开发手册-7

安全规约

1. 【强制】隶属于用户个人的页面或者功能必须进行权限控制校验。
   说明：防止没有做水平权限校验就可随意访问、修改、删除别人的数据，比如查看他人的私信内容。
2. 【强制】用户敏感数据禁止直接展示，必须对展示数据进行脱敏。
   正例：中国大陆个人手机号码显示：139****1219，隐藏中间4位，防止隐私泄露。
3. 【强制】用户输入的SQL参数严格使用参数绑定或者METADATA字段值限定，防止SQL注入，禁止字符串拼接SQL访问数据库。
   反例：某系统签名大量被恶意修改，即是因为对于危险字符#--没有进行转义，导致数据库更新时，where后边的信息被注释掉，对全库进行更新。
4. 【强制】用户请求传入的任何参数必须做有效性验证。
   说明：忽略参数校验可能导致：
   ●页面page size过大导致内存溢出
   ●恶意order by导致数据库慢查询
   ●缓存击穿SSRF
   ●任意重定向
   ●SQL注入，Shell注入，反序列化注入
   ●正则输入源串拒绝服务 ReDoS
   扩展：Java代码用正则来验证客户端的输入，有些正则写法验证普通用户输入没有问题，但是如果攻击人员使用的是特殊构造的字符串来验证，有可能导致死循环的结果。
5. 【强制】禁止向HTML页面输出未经安全过滤或未正确转义的用户数据。
   说明：XSS跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码，当用户浏览时，嵌入其中Web里面的html代码会被执行，造成获取用户cookie、钓鱼、获取用户页面数据、蠕虫、挂马等危害。
6. 【强制】表单、AJAX提交必须执行CSRF安全验证。
   说明：CSRF（Cross-site request forgery）跨站请求伪造是一类常见编程漏洞。对于存在CSRF漏洞的应用/网站，攻击者可以事先构造好URL，只要受害者用户一访问，后台便在用户不知情的情况下对数据库中用户参数进行相应修改。
7. URL外部重定向传入的目标地址必须执行白名单过滤。
   说明：攻击者通过恶意构造跳转的链接，可以向受害者发起钓鱼攻击。
8. 【强制】在使用平台资源，譬如短信、邮件、电话、下单、支付，必须实现正确的防重放的机制，如数量限制、疲劳度控制、验证码校验，避免被滥刷而导致资损。
   说明：如注册时发送验证码到手机，如果没有限制次数和频率，那么可以利用此功能骚扰到其它用户，并造成短信平台资源浪费。
9. 【强制】对于文件上传功能，需要对于文件大小、类型进行严格检查和控制。
   说明：攻击者可以利用上传漏洞，上传恶意文件到服务器，并且远程执行，达到控制网站服务器的目的。
10. 【强制】配置文件中的密码需要加密。
11. 【推荐】发贴、评论、发送等即时消息，需要用户输入内容的场景。必须实现防刷、内容违禁词过滤等风控策略。

MySQL数据库

建表规约

1. 【强制】表达是与否概念的字段，必须使用is_xxx的方式命名，数据类型是unsigned tinyint（1表示是，0表示否）。
   注意：POJO类中的任何布尔类型的变量，都不要加is前缀，所以，需要在resultMap设置从is_xxx的映射关系。数据库表示是与否的值，使用tinyint类型，坚持is_xxx的命名方式是为了明确其取值含义与取值范围。
   说明：任何字段如果为非负数，必须是unsigned。
   正例：表达逻辑删除的字段名is_deleted，1表示删除，0表示未删除。
2. 【强制】表名、字段名必须使用小写字母或数字，禁止出现数字开头禁止两个下划线中间只出现数字。数据库字段名的修改代价很大，因为无法进行预发布，所以字段名称需要慎重考虑。
   说明：M/SQL在Windows下不区分大小写，但在Linux下默认是区分大小写。 因此，数据库名、表名、字段名，都不允许出现任何大写字母，避免节外生枝。
   正例：aliyun_admin，rdc_config，level3_name
   反例：AliyunAdmin，rdcConfig，level_3_name
3. 【强制】表名不使用复数名词。
   说明：表名应该仅仅表示表里面的实体内容，不应该表示实体数量，对应于DO类名也是单数形式，符合表达习惯。
4. 【强制】禁用保留字，如desc、range、match、delayed等，请参考MySQL官方保留字。
5. 【强制】主键索引名为pk字段名；唯一索引名为uk_字段名；普通索引名则为idx字段名。
   说明：pk_即primary key；uk_即 unique key；idx_即 index 的简称。
6. 【强制】小数类型为decimal，禁止使用float和double。
   说明：在存储的时候，float和double都存在精度损失的问题，很可能在比较值的时候，得到不正确的结果。如果存储的数据范围超过decimal的范围，建议将数据拆成整数和小数并分开存储。
7. 【强制】如果存储的字符串长度几乎相等，使用char定长字符串类型。
8. 【强制】varchar是可变长字符串，不预先分配存储空间，长度不要超过5000，如果存储长度大于此值，定义字段类型为text，独立出来一张表，用主键来对应，避免影响其它字段索引率。
9. 【强制】表必备三字段：id，create_time，update_time。
   说明：其中id必为主键，类型为bigint unsigned、单表时自增、步长为1。create_time，update_time的类型均为datetime类型，如果要记录时区信息，那么类型设置为timestamp。
10. 【强制】在数据库中不能使用物理删除操作，要使用逻辑删除。
    说明：逻辑删除在数据删除后可以追溯到行为操作。不过会使得一些情况下的唯一主键变得不唯一，需要根据情况来酌情解决。
11. 【推荐】表的命名最好是遵循“业务名称_表的作用”。
    正例：alipay_task/force_project/trade_config/tes_question
12. 【推荐】库名与应用名称尽量一致。
13. 【推荐】如果修改字段含义或对字段表示的状态追加时，需要及时更新字段注释。
14. 【推荐】字段允许适当冗余，以提高查询性能，但必须考虑数据一致。冗余字段应遵循：
    1）不是频繁修改的字段。
    2）不是唯一索引的字段。
    3）不是varchar超长字段，更不能是text字段。
    正例：各业务线经常冗余存储商品名称，避免查询时需要调用IC服务获取。
15. 【推荐】单表行数超过500万行或者单表容量超过2GB，才推荐进行分库分表。
    说明：如果预计三年后的数据量根本达不到这个级别，请不要在创建表时就分库分表。
16. 【参考】合适的字符存储长度，不但节约数据库表空间、节约索引存储，更重要的是提升检索速度。
    正例：无符号值可以避免误存负数，且扩大了表示范围

索引规约

1. 【强制】业务上具有唯一特性的字段，即使是组合字段，也必须建成唯一索引。
   说明：不要以为唯一索引影响了insert速度，这个速度损耗可以忽略，但提高查找速度是明显的；另外，即使在应用层做了非常完善的校验控制，只要没有唯一索引，根据墨菲定律，必然有脏数据产生。
2. 【强制】超过三个表禁止join。需要join的字段，数据类型保持绝对一致；多表关联查询时，保证被关联 的字段需要有索引。
   说明：即使双表join也要注意表索引、SQL性能。
3. 【强制】在varchar字段上建立索引时，必须指定索引长度，没必要对全字段建立索引，根据实际文本区分度决定索引长度。
   说明：索引的长度与区分度是一对矛盾体，一般对字符串类型数据，长度为20的索引，区分度会高达90%以上，可以使用count（distinct left(列名，索引长度)/ count(*))的区分度来确定。
4. 【强制】页面搜索严禁左模糊或者全模糊，如果需要请走搜索引擎来解决。
   说明：索引文件具有B-Tree的最左前缀匹配特性，如果左边的值未确定，那么无法使用此索引。
5. 【推荐】如果有 order by 的场景，请注意利用索引的有序性。order by 最后的字段是组合索引的一部分，并且放在索引组合顺序的最后，避免出现filesort的情况，影响查询性能。
   正例：where a = ? and b = ? order by c;索引：a_b_c
   反例：索引如果存在范围查询，那么索引有序性无法利用，如：WHERE a > 10 ORDER BY b;索引a_b 无法排序。
6. 【推荐】利用覆盖索引来进行查询操作，避免回表。
   说明：如果一本书需要知道第11章是什么标题，会翻开第11章对应的那一页吗？目录浏览一下就好，这个目录就是起到覆盖索引的作用。
   正例：能够建立索引的种类分为主键索引、唯一索引、普通索引三种，而覆盖索引只是一种查询的一种效果，用 explain 的结果，extra列会出现：using index。
7. 【推荐】利用延迟关联或者子查询优化超多分页场景。
   说明：MySQL并不是跳过offset行，而是取offset+N行，然后返回放弃前offset行，返回N行，那当offset特别大的时候，效率就非常的低下，要么控制返回的总页数，要么对超过特定阈值的页数进行SQL改写。
   正例：先快速定位需要获取的id段，然后再关联：SELECT t1.* FROM 表1 as t1,（select id from表1 where条件LIMIT 100000，20）as t2 where t1.id = t2.id
8. 【推荐】SQL性能优化的目标：至少要达到 range 级别，要求是ref级别，如果可以是const最好。
   说明：
   1）consts 单表中最多只有一个匹配行（主键或者唯一索引），在优化阶段即可读取到数据。
   2）ref指的是使用普通的索引（normal index）。
   3）range对索引进行范围检索。
   反例：explain表的结果，type = index，索引物理文件全扫描，速度非常慢，这个index 级别比较 range还低，与全表扫描是小巫见大巫。
9. 【推荐】建组合索引的时候，区分度最高的在最左边。
   正例：如果where a = ? and b = ?，a列的几乎接近于唯一值，那么只需要单建idx_a索引即可。
   说明： 存在非等号和等号混合判断条件时，在建索引时，请把等号条件的列前置。如：where c > ? and d = ?那么即使c的区分度更高，也必须把d放在索引的最前列，即建立组合索引idx_d_c。
10. 【推荐】防止因字段类型不同造成的隐式转换，导致索引失效。
11. 【参考】创建索引时避免有如下极端误解：
    1）索引宁滥勿缺。认为一个查询就需要建一个索引。
    2）吝啬索引的创建。认为索引会消耗空间、严重拖慢记录的更新以及行的新增速度。
    3）抵制唯一索引。认为唯一索引一律需要在应用层通过"先查后插"方式解决。