Работа с MySQL. На дорожку
Автор: dev.vitgroup.com
Во избежание путаницы полей (если встречаются поля с
одинаковыми названиями) используйте в запросах оператор AS: "SELECT
table1.id as id1, table2.id as id2". Это поможет избежать ошибок в запросе
(например, если не указана таблица, а поле с таким названием есть в
нескольких запрашиваемых таблицах, mysql выдаёт ошибку), а так же вы
избежите недоразумений при работе с полученными данными (echo $row["id1"]
писать гораздо проще, чем $row[$x]).
-
Во избежание путаницы полей (если встречаются поля с
одинаковыми названиями) используйте в запросах оператор AS: "SELECT
table1.id as id1, table2.id as id2". Это поможет избежать ошибок в
запросе (например, если не указана таблица, а поле с таким названием
есть в нескольких запрашиваемых таблицах, mysql выдаёт ошибку), а так же
вы избежите недоразумений при работе с полученными данными (echo
$row["id1"] писать гораздо проще, чем $row[$x]).
-
Данные типа DATE, TIME, DATETIME и TIMESTAMP можно
форматировать с помощью функции date_format (см. руководство по mysql).
Используйте его, и не форматируйте данные через php - это не просто
"самодеятельность", а ещё и растрата системных ресурсов.
-
По возможности минимально используйте LEFT JOIN для
объединения таблиц. Это весьма трудоёмкая операция для базы данных.
-
Там, где можно, используйте идентификаторы - выборка
данных при указании ключевого поля происходит быстрее, чем при указании
обычного.
-
Вместо "WHERE id=1 OR id=3 OR id=232" можно
использовать встроенную функцию IN: "WHERE id IN (1,3,232)".
-
Если нужен текстовый поиск, осторожней со знаком "%".
Во всяком случае, запросы типа somefield LIKE '%a%' лучше не делать -
опять же слишком трудоёмкая операция. По крайней мере, надо фильтровать
слова и отрезать те, которые короче 3 символов.
-
Используйте минимум необходимых полей в запросе.
"SELECT * FROM sometable" выполняется медленнее, чем "SELECT id FROM
sometable", тем более если в таблице много данных. Для подсчёта
количества строк в таблице вообще (или подпадающих под некоторое
условие) достаточно одного поля.
-
Разбивайте данные на страницы, используя оператор
LIMIT. Это экономит время выполнения запроса и уменьшает объем страницы,
которую получает пользователь.
Даже если вам не грозит "падение" от наплыва посетителей,
лучше взять себе в привычку, чтобы потом не было проблем с адаптацией к
новым задачам. Теперь о безопасности работы
-
Старайтесь не допускать внесения в базу данных
символа одинарной кавычки ("'"), поскольку это служебный символ запросов
БД. Перед внесением в базу поле можно обработать функцией str_replace:
$somefield = str_replace("'", "'", $somefield);
К тому же это лишний барьер на пути взломщиков вашего
сайта. Пример "взлома" простой:
mysql_query("UPDATE users
SET password=PASSWORD('$passwd') WHERE login='$login'");
Если кавычку не обработать на входе, злоумышленник может
в качестве логина сунуть строку "vasya_pupkin' OR login LIKE'%". В базу
данных залетит запрос: mysql_query("UPDATE users SET
password=PASSWORD('$passwd') WHERE login='vasya_pupkin' OR login LIKE
'%'"); То есть все пароли будут одинаковые. Это только один пример. Итак,
-
Обрабатывайте данные, получаемые из адресной строки
или из формы, и приводите их к нужному типу во избежание ошибок и
"взломов" сайта. (ещё пример: если требуется идентификатор, то есть
целое число, надо обработать его с помощью intval: $id = intval($id)).
Запросы на вставку строки (INSERT)
Поле идентификатора вставлять не нужно. На это есть
свойство поля AUTO_INCREMENT.
Забавно читать, как в форуме пишут:
- Как мне быть с генератором случайных чисел?!
неправильно работает!
- А зачем тебе?
- Да в базе id использовать...
В общем, не надо самодеятельности.
-
Если в поле формата DATE, TIME, DATETIME или
TIMESTAMP надо вставить текущее время, используйте встроенную в mysql
функцию NOW: "INSERT INTO vote (ip, date) VALUES ($REMOTE_ADDR, NOW())"
-
Хранимые в базе пароли лучше прикрыть функцией php
md5: "INSERT INTO user (login, pass) VALUES ('$login', ". md5($pass).
")" "SELECT * FROM user WHERE login='$login' AND pass=". md5($pass)
Советы, кажется, уже исчерпаны. Напоследок. С недавних
пор я стал думать, что при написании скриптов, работающих с БД, надо
ориентироваться не только на глупого и шаловливого посетителя, но и на
криворукого администратора. Даже если мы внимательно будем следить за
текстом, который вставляем в текстовое поле (одинарные кавычки не писать,
делать их автозамену в Word-е, белое не носить), вероятность попадания
служебных символов в запрос ненулевая.
|