超级会员免费看
文章目录
多年来,我在团队中见过各种开发人员犯下的 SQL 错误,我自己也犯过不少。在此,我想分享我学到的经验,从安全性开始谈起。
安全性
编写原始 SQL 查询
即使团队中的每个人都非常谨慎,总有一天会有人不小心将未经清理的用户输入传递给查询,从而引发各种 SQL 注入攻击。建议使用 SQL 查询构建器(如 Knex)。SQL 查询构建器允许你以编程方式创建查询,并通过预处理语句自动清理所有输入。尽管它们也允许在少数情况下运行原始 SQL 查询,但这些场景很少见。
不使用预处理语句
如果你确实需要运行原始 SQL 查询,请务必使用预处理语句。是的,这需要更多的工作,但这也是我们使用 SQL 查询构建器的原因之一。
数据完整性
缺失主键
主键是数据库表中每一行的唯一标识符。例如,每个客户必须有一个唯一的(通常为数字类型的)ID。其他可能唯一标识客户的字段(如电子邮件地址和电话号码)可能会更改,但客户的 ID 永远不会更改。如果一个表在某些情况下(如多对多关系的中间表)不需要依赖主键,也可以省略,但这种情况非常少见。不确定时,请使用主键。
缺失外键
外键将一个表中的数据链接到
订阅专栏 解锁全文
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
