四、安全规约
1、【强制】隶属于用户个人的页面或者功能必须进行权限控制校验。
2、【强制】用户敏感数据禁止直接展示,必须对展示数据进行脱敏。
3、【强制】用户输入的 SQL 参数严格使用参数绑定或者 METADATA 字段值限定,防止 SQL 注入, 禁止字符串拼接 SQL 访问数据库。
4、【强制】用户请求传入的任何参数必须做有效性验证。
忽略参数校验可能导致:
- page size过大导致内存溢出
- 恶意order by导致数据库慢查询
- 任意重定向
- SQL注入
- 反序列化注入
- 正则输入源串拒绝服务ReDoS
5、【强制】禁止向 HTML 页面输出未经安全过滤或未正确转义的用户数据。
6、【强制】表单、AJAX 交必须执行 CSRF 安全过滤。
CSRF(Cross-site request forgery)跨站请求伪造是一类常见编程漏洞。对于存在 CSRF 漏洞的应用/网站,攻击者可以事先构造好 URL,只要受害者用户一访问,后台便在用户 不知情情况下对数据库中用户参数进行相应修改。
7、【强制】在使用平台资源,譬如短信、邮件、电话、下单、支付,必须实现正确的防重放限制, 如数量限制、疲劳度控制、验证码校验,避免被滥刷、资损。
8、【推荐】发贴、评论、发送即时消息等用户生成内容的场景必须实现防刷、文本内容违禁词过 滤等风控策略。
五、MySQL数据库
(一)建表规约
1、【强制】表达是与否概念的字段,必须使用 is_xxx 的方式命名,数据类型是 unsigned tinyint ( 1表示是,0表示否)。
2、【强制】表名、字段名必须使用小写字母或数字,禁止出现数字开头,禁止两个下划线中间只 出现数字。数据库字段名的修改代价很大,因为无法进行预发布,所以字段名称需要慎重考虑。
3、【强制】表名不使用复数名词。
4、【强制】禁用保留字,如 desc、range、match、delayed 等,请参考 MySQL 官方保留字。
5、【强制】主键索引名为 pk字段名;唯一索引名为 uk字段名;普通索引名则为 idx_字段名
6、【强制】小数类型为 decimal,禁止使用 float 和 double。
float 和 double 在存储的时候,存在精度损失的问题,很可能在值的比较时,
得到不 正确的结果。如果存储的数据范围超过 decimal 的范围,建议将数据拆成整数和小数分开存储。
7、【强制】如果存储的字符串长度几乎相等,使用 char 定长字符串类型。
8、【强制】varchar 是可变长字符串,不预先分配存储空间,长度不要超过 5000,如果存储长 度大于此值,定义字段类型为 text,独立出来一张表,用主键来对应,避免影响其它字段索 引效率。
9、【强制】表必备三字段:id, gmt_create, gmt_modified。
10、【推荐】表的命名最好是加上“业务名称_表的作用”。
11、【推荐】库名与应用名称尽量一致。
12、【推荐】如果修改字段含义或对字段表示的状态追加时,需要及时更新字段注释。
13、【推荐】字段允许适当冗余,以 高查询性能,但必须考虑数据一致。冗余字段应遵循:
- 不是频繁修改的字段。
- 不是 varchar 超长字段,更不能是 text 字段。
14、【推荐】单表行数超过 500 万行或者单表容量超过 2GB,才推荐进行分库分表。
15、【参考】合适的字符存储长度,不但节约数据库表空间、节约索引存储,更重要的是 升检 索速度。
(二)索引规约
1、【强制】业务上具有唯一特性的字段,即使是多个字段的组合,也必须建成唯一索引。
2、【强制】超过三个表禁止 join。需要 join 的字段,数据类型必须绝对一致;多表关联查询时, 保证被关联的字段需要有索引。
3、【强制】在 varchar 字段上建立索引时,必须指定索引长度,没必要对全字段建立索引,根据 实际文本区分度决定索引长度即可。
4、【强制】页面搜索严禁左模糊或者全模糊,如果需要请走搜索引擎来解决。
5、【推荐】如果有 order by 的场景,请注意利用索引的有序性。order by 最后的字段是组合 索引的一部分,并且放在索引组合顺序的最后,避免出现 file_sort 的情况,影响查询性能。 正例:where a=? and b=? order by c; 索引:a_b_c 反例:索引中有范围查找,那么索引有序性无法利用,如:WHERE a>10 ORDER BY b; 索引 a_b 无法排序。
6、【推荐】利用覆盖索引来进行查询操作,避免回表。
7、【推荐】利用延迟关联或者子查询优化超多分页场景。
8、【推荐】SQL 性能优化的目标:至少要达到 range 级别,要求是 ref 级别,如果可以是 consts 最好。
9、【推荐】建组合索引的时候,区分度最高的在最左边。
10、【推荐】防止因字段类型不同造成的隐式转换,导致索引失效。
12、【参考】创建索引时避免有如下极端误解:
- 宁滥勿缺。认为一个查询就需要建一个索引。
- 宁缺勿滥。认为索引会消耗空间、严重拖慢更新和新增速度。
- 抵制惟一索引。认为业务的惟一性一律需要在应用层通过“先查后插”方式解决。
(三)SQL语句
1、【强制】不要使用 count(列名)或 count(常量)来替代 count(),count()是 SQL92 定义的 标准统计行数的语法,跟数据库无关,跟 NULL 和非 NULL 无关。
2、【强制】count(distinct col) 计算该列除 NULL 之外的不重复行数,注意 count(distinct col1, col2) 如果其中一列全为 NULL,那么即使另一列有不同的值,也返回为 0。
3、【强制】当某一列的值全是 NULL 时,count(col)的返回结果为 0,但 sum(col)的返回结果为 NULL,因此使用 sum()时需注意 NPE 问题。 正例:可以使用如下方式来避免sum的NPE问题:SELECT IF(ISNULL(SUM(g)),0,SUM(g)) FROM table;
4、【强制】使用 ISNULL()来判断是否为 NULL 值。
5、【强制】 在代码中写分页查询逻辑时,若 count 为 0 应直接返回,避免执行后面的分页语句。
6、【强制】不得使用外键与级联,一切外键概念必须在应用层解决。
7、【强制】禁止使用存储过程,存储过程难以调试和扩展,更没有移植性。
8、【强制】数据订正时,删除和修改记录时,要先 select,避免出现误删除,确认无误才能执 行更新语句。
9、【推荐】in 操作能避免则避免,若实在避免不了,需要仔细评估 in 后边的集合元素数量,控制在 1000 个之内。
10、【参考】TRUNCATE TABLE 比 DELETE 速度快,且使用的系统和事务日志资源少,但 TRUNCATE 无事务且不触发 trigger,有可能造成事故,故不建议在开发代码中使用此语句。
11、【参考】如果有全球化需要,所有的字符存储与表示,均以 utf-8 编码,注意字符统计函数 的区别。
(四)ORM映射
1、【强制】在表查询中,一律不要使用 * 作为查询的字段列表,需要哪些字段必须明确写明。
2、【强制】POJO 类的布尔属性不能加 is,而数据库字段必须加 is_,要求在 resultMap 中进行 字段与属性之间的映射。
3、【强制】不要用 resultClass 当返回参数,即使所有类属性名与数据库字段一一对应,也需 要定义;反过来,每一个表也必然有一个与之对应。
4、【强制】sql.xml 配置参数使用:#{},#param# 不要使用${} 此种方式容易出现 SQL 注入。
5、【强制】iBATIS 自带的 queryForList(String statementName,int start,int size)不推 荐使用。
6、【强制】不允许直接拿 HashMap 与 Hashtable 作为查询结果集的输出
7、【强制】更新数据表记录时,必须同时更新记录对应的 gmt_modified 字段值为当前时间。
8、【推荐】不要写一个大而全的数据更新接口。传入为 POJO 类,不管是不是自己的目标更新字 段,都进行 update table set c1=value1,c2=value2,c3=value3; 这是不对的。执行 SQL 时,不要更新无改动的字段,一是易出错;二是效率低;三是增加 binlog 存储。
9、【参考】@Transactional 事务不要滥用。事务会影响数据库的 QPS,另外使用事务的地方需 要考虑各方面的回滚方案,包括缓存回滚、搜索引擎回滚、消息补偿、统计修正等。
10、【参考】中的 compareValue 是与属性值对比的常量,一般是数字,表示相等时带 上此条件;表示不为空且不为 null 时执行;表示不为 null 值时 执行。