對于大多數(shù)web應用來說,數(shù)據(jù)庫都是一個十分基礎性的部分。如果你在使用PHP,那么你很可能也在使用MySQL—LAMP系列中舉足輕重的一份子。
對于很多新手們來說,使用PHP可以在短短幾個小時之內(nèi)輕松地寫出具有特定功能的代碼。但是,構(gòu)建一個穩(wěn)定可靠的數(shù)據(jù)庫卻需要花上一些時日和相關(guān)技 能。下面列舉了我曾經(jīng)犯過的最嚴重的11個MySQL相關(guān)的錯誤(有些同樣也反映在其他語言/數(shù)據(jù)庫的使用上)。。。
1.使用MyISAM而不是InnoDB
MySQL有很多數(shù)據(jù)庫引擎,但是你最可能碰到的就是MyISAM和InnoDB。
MySQL默認使用的是MyISAM。但是,很多情況下這都是一個很糟糕的選擇,除非你在創(chuàng)建一個非常簡單抑或?qū)嶒炐缘臄?shù)據(jù)庫。外鍵約束或者事務處 理對于數(shù)據(jù)完整性是非常重要的,但MyISAM都不支持這些。另外,當有一條記錄在插入或者更新時,整個數(shù)據(jù)表都被鎖定了,當使用量增加的時候這會產(chǎn)生非 常差的運行效率。
結(jié)論很簡單:使用InnoDB。
2.使用PHP的mysql函數(shù)PHP自產(chǎn)生之日就提供了MySQL庫函數(shù)(or near as makes no difference)。很多應用仍然在使用類似mysql_connect、mysql_query、mysql_fetch_assoc等的函數(shù),盡 管PHP手冊上說:如果你在使用MySQL v4.1.3或者更新版本,強烈推薦使用您使用mysqli擴展。
mysqli(MySQL的加強版擴展)有以下幾個優(yōu)點:
可選的面向?qū)ο蠼涌?br/>
prepared表達式,這有利于阻止SQL注入攻擊,還能提高性能
支持更多的表達式和事務處理
另外,如果你想支持多種數(shù)據(jù)庫系統(tǒng),你還可以考慮PDO。3.沒有處理用戶輸入這或者可以這樣說#1:永遠不要相信用戶的輸入。用服務器端的PHP驗證每個字符串,不要寄希望與JavaScript。最簡單的SQL注入攻擊會利用如下的代碼:
$username = $_POST["name"]; $password = $_POST["password"]; $sql = "SELECT userid FROM usertable WHERE username='$username' AND password='$password';"; // run query...
只要在username字段輸入“admin';--”,這樣就會被黑到,相應的SQL語句如下:
SELECT userid FROM usertable WHERE username='admin';
狡猾的黑客可以以admin登錄,他們不需要知道密碼,因為密碼段被注釋掉了。4.沒有使用UTF-8 美國、英國和澳大利亞的我們很少考慮除英語之外的其他語言。我們很得意地完成了自己的“杰作”卻發(fā)現(xiàn)它們并不能在其他地方正常運行。
UTF-8解決了很多國際化問題。雖然在PHP v6.0之前它還不能很好地被支持,但這并不影響你把MySQL字符集設為UTF-8。
5.相對于SQL,偏愛PHP 如果你接觸MySQL不久,那么你會偏向于使用你已經(jīng)掌握的語言來解決問題,這樣會導致寫出一些冗余、低效率的代碼。比如,你不會使用MySQL自帶的AVG()函數(shù),卻會先對記錄集中的值求和然后用PHP循環(huán)來計算平均值。
此外,請注意PHP循環(huán)中的SQL查詢。通常來說,執(zhí)行一個查詢比在結(jié)果中迭代更有效率。
所以,在分析數(shù)據(jù)的時候請利用數(shù)據(jù)庫系統(tǒng)的優(yōu)勢,懂一些SQL的知識將大有裨益。