数据库安全性和高效性

1. SQL注入

定义与危害

• SQL注入是通过构造恶意输入，将非法SQL代码嵌入到正常查询中，破坏原有逻辑，实现非法操作（如绕过认证、窃取数据）。
• 典型示例：
  • 输入 jason' -- xxx 注释后续密码条件，导致登录成功。
  • 输入 xyz' OR 1=1 -- 使条件恒成立，无需正确用户名密码。

防范措施

• 参数化查询：避免手动拼接SQL，使用占位符（如 ? 或 :param）传递参数，如Java的 PreparedStatement。
• 输入验证与过滤：通过正则表达式限制输入格式（如仅允许字母数字）。
• 存储过程：将业务逻辑封装在数据库端，减少客户端直接操作SQL的机会。
• ORM框架安全实践：
  • 使用框架内置的参数绑定功能（如Hibernate、MyBatis）。
  • 避免动态拼接SQL，利用框架提供的抽象层。

2. 索引优化

索引的作用与分类

• 作用：加速查询、排序，降低IO消耗，但会增加写入开销和存储空间。
• 分类：
  • 按数据结构：B+树（主流）、Hash索引（InnoDB不支持）、全文索引（用于文本搜索）。
  • 按字段特性：主键索引（聚簇索引）、唯一索引、普通索引、联合索引。
  • 按功能：覆盖索引（查询字段全在索引中）、辅助索引（非主键索引）。

优化策略

• 最左前缀原则：联合索引（如 idx(a,b,c)）要求查询条件必须包含最左侧字段（如 a 或 a,b），否则无法使用索引。
• 避免冗余索引：单表索引数量不宜过多，优先覆盖高频查询字段。
• 索引下推：二级索引中优化范围查询，减少回表次数。
• 聚簇索引 vs 非聚簇索引：
  • 聚簇索引（主键索引）的叶子节点存储数据行，查询效率高，但插入时可能引发页分裂。
  • 非聚簇索引（辅助索引）的叶子节点存储主键值，需二次查找（回表）。

3. 事务隔离

ACID特性

• 原子性（Atomicity）：事务要么全部成功，要么全部失败，通过undo日志实现。
• 一致性（Consistency）：事务前后数据状态一致（如银行转账总额不变）。
• 隔离性（Isolation）：并发事务互不干扰，通过锁和MVCC实现。
• 持久性（Durability）：事务提交后结果持久化，通过redo日志保证。

隔离级别

• MVCC机制：通过快照读和间隙锁解决幻读问题，保证可重复读。

4. 存储过程

定义与优势

• 存储过程是数据库端的预编译SQL集合，用于封装复杂逻辑，支持参数传递和动态SQL。
• 优势：
  • 减少网络传输（客户端仅需调用存储过程）。
  • 增强安全性（隐藏具体SQL逻辑）。
  • 支持复用（如批量插入、触发器逻辑）。

应用场景

• 数据校验：在数据库层实现字段格式检查。
• 业务逻辑封装：如订单处理流程，避免客户端直接操作多张表。
• 批量操作：使用 EXECUTE MANY 一次性执行多条SQL，提升效率。

5. ORM框架

核心概念

• ORM（对象关系映射）：通过映射实体类与数据库表，实现以面向对象方式操作数据库，避免直接编写SQL。
• 主流框架：Hibernate（Java）、MyBatis（Java）、Entity Framework（C#）。

安全与性能优化

• 防范SQL注入：
  • 使用框架自带的参数绑定功能（如 @Query 注解中的 :param）。
  • 避免动态拼接SQL，优先使用类型安全的方式。
• 性能优化：
  • 合理设计实体映射（如懒加载、缓存）。
  • 利用拦截器实现自动审计或日志记录。

总结关联

• SQL注入防护依赖参数化查询、存储过程或ORM框架的抽象层。
• 索引优化需结合查询场景和数据结构（如B+树），避免过度索引影响写入。
• 事务隔离通过MVCC和锁机制平衡并发与一致性，需根据业务选择合适的隔离级别。
• 存储过程与ORM框架均可封装逻辑，但存储过程更适合数据库端复杂计算，ORM更适合应用层灵活开发。