對於很多新手們來說,使用PHP可以在短短几個小時之內輕鬆地寫出具有特定功能的程式碼。但是,構建一個穩定可靠的資料庫卻需要花上一些時日和相關技能。下面列舉了我曾經犯過的最嚴重的11個MySQL相關的錯誤(有些同樣也反映在其他語言/資料庫的使用上)。
1.使用MyISAM而不是InnoDB
MySQL有很多資料庫引擎,但是你最可能碰到的就是MyISAM和InnoDB。
MySQL預設使用的是MyISAM。但是,很多情況下這都是一個很糟糕的選擇,除非你在建立一個非常簡單抑或實驗性的資料庫。外來鍵約束或者事務處理對於資料完整性是非常重要的,但MyISAM都不支援這些。另外,當有一條記錄在插入或者更新時,整個資料表都被鎖定了,當使用量增加的時候這會產生非常差的執行效率。
結論很簡單:使用InnoDB。
2.使用PHP的mysql函式
PHP自產生之日就提供了MySQL庫函式(or near as makes no difference)。很多應用仍然在使用類似mysql_connect、mysql_query、mysql_fetch_assoc等的函式,儘管PHP手冊上說:
如果你在使用MySQL v4.1.3或者更新版本,強烈推薦使用您使用mysqli擴充套件。
mysqli(MySQL的加強版擴充套件)有以下幾個優點:
- 可選的物件導向介面
- prepared表示式,這有利於阻止SQL隱碼攻擊,還能提高效能
- 支援更多的表示式和事務處理
另外,如果你想支援多種資料庫系統,你還可以考慮PDO。
3.沒有處理使用者輸入
這或者可以這樣說#1:永遠不要相信使用者的輸入。用伺服器端的PHP驗證每個字串,不要寄希望與JavaScript。最簡單的SQL隱碼攻擊會利用如下的程式碼:
$username = $_POST["name"]; $password = $_POST["password"]; $sql = “SELECT userid FROM usertable WHERE username=’$username’ AND password=’$password’;”; // run query…
只要在username欄位輸入”admin’;–”,這樣就會被黑到,相應的SQL語句如下:
SELECT userid FROM usertable WHERE username=’admin’;狡猾的黑客可以以admin登入,他們不需要知道密碼,因為密碼段被註釋掉了。
4.沒有使用UTF-8
美國、英國和澳大利亞的我們很少考慮除英語之外的其他語言。我們很得意地完成了自己的”傑作”卻發現它們並不能在其他地方正常執行。
UTF-8解決了很多國際化問題。雖然在PHP v6.0之前它還不能很好地被支援,但這並不影響你把MySQL字符集設為UTF-8。
5.相對於SQL,偏愛PHP
如果你接觸MySQL不久,那麼你會偏向於使用你已經掌握的語言來解決問題,這樣會導致寫出一些冗餘、低效率的程式碼。比如,你不會使用MySQL自帶的AVG()函式,卻會先對記錄集中的值求和然後用PHP迴圈來計算平均值。
此外,請注意PHP迴圈中的SQL查詢。通常來說,執行一個查詢比在結果中迭代更有效率。
所以,在分析資料的時候請利用資料庫系統的優勢,懂一些SQL的知識將大有裨益。
6.沒有優化資料庫查詢
99%的PHP效能問題都是由資料庫引起的,僅僅一個糟糕的SQL查詢就能讓你的web應用徹底癱瘓。MySQL的EXPLAIN statement、Query Profiler,還有很多其他的工具將會幫助你找出這些萬惡的SELECT。
7.不能正確使用資料型別
MySQL提供了諸如numeric、string和date等的資料型別。如果你想儲存一個時間,那麼使用DATE或者DATETIME型別。如果這個時候用INTEGER或者STRING型別的話,那麼將會使得SQL查詢非常複雜,前提是你能使用INTEGER或者STRING來定義那個型別。
很多人傾向於擅自自定義一些資料的格式,比如,使用string來儲存序列化的PHP物件。這樣的話資料庫管理起來可能會變得簡單些,但會使得MySQL成為一個糟糕的資料儲存而且之後很可能會引起故障。
8.在查詢中使用*
永遠不要使用*來返回一個資料表所有列的資料。這是懶惰:你應該提取你需要的資料。就算你需要所有欄位,你的資料表也不可避免的會產生變化。
9.不使用索引或者過度使用索引
一般性原則是這樣的:select語句中的任何一個where子句表示的欄位都應該使用索引。
舉個例子,假設我們有一個user表,包括numeric ID(主鍵)和email address。登入的時候,MySQL必須以一個email為依據查詢正確的ID。如果使用了索引的話(這裡指email),那麼MySQL就能夠使用更快的搜尋演算法來定位email,甚至可以說是即時實現。否則,MySQL就只能順序地檢查每一條記錄直到找到正確的email address。
有的人會在每個欄位上都新增索引,遺憾的是,執行了INSERT或者UPDATE之後這些索引都需要重新生成,這樣就會影響效能。所以,只在需要的時候新增索引。
10.忘記備份
雖然比較罕見,但是資料庫還是有崩潰的危險。硬碟有可能損壞,伺服器有可能崩潰,web主機提供商有可能會破產!丟失MySQL資料將會是災難性的,所以請確保你已經使用了自動備份或者已經複製到位。
11.Bonus mistake-不考慮使用其他資料庫
對於PHP開發人員來說,MySQL可能是使用最廣泛的資料庫系統,但並不是唯一的選擇。PostgreSQL和Firebird是最強有力的競爭者:這個兩者都是開源的,而且都沒有被公司收購。微軟提供了sql server Express,甲骨文提供了10g Express,這兩者都是企業級資料庫的免費版本。有時候,對於一個較小的web應用或者嵌入式應用,SQLite也不失為一個可行的替代方案。
評論(3)