本文提炼SQL注入核心知识，涵盖定义、成因、攻击方法、工具使用及防御策略，内容简洁易懂，聚焦实用要点，帮助快速掌握SQL注入关键逻辑。

一、SQL注入概述

1.1 核心定义

SQL注入是Web应用高危漏洞，攻击者利用输入校验缺陷，将恶意SQL语句拼接到后台SQL命令中，实现窃取数据、控制服务器等攻击目的。

1.2 主要成因

• 输入未过滤：特殊字符（单引号、逻辑运算符等）未转义，如DVWA Low级别的漏洞场景。
• SQL语句拼接：直接将用户输入作为SQL部分拼接，未用参数化查询，例如"SELECT * FROM users WHERE id='$id'"。
• 权限过度：数据库连接账号权限过高（如root），注入成功后风险被放大。

前言

MySQL索引就像是一本书的目录，它让数据库能够快速找到所需数据，而不用扫描整个表。合理的索引设计是数据库性能优化的核心技能之一。

1. 索引基础概念

1.1 什么是索引？

索引是一种特殊的数据结构，存储着表中一列或多列的值以及对应的物理地址引用。就像图书馆的目录系统，让我们能够快速找到目标图书的位置。

1.2 索引的工作原理

原始表数据：
┌─────┬─────────┬─────────┐
│  id │   name  │  email  │
├─────┼─────────┼─────────┤
│  1  │  张三   │zhang@1  │
│  2  │  李四   │li@2     │
│  3  │  王五   │wang@3   │
│  4  │  赵六   │zhao@4   │
└─────┴─────────┴─────────┘

索引结构（B+Tree）：
┌─────────┬─────────┐
│  key值  │  指针   │
├─────────┼─────────┤
│    1    │  指向1  │
│    2    │  指向2  │
│    3    │  指向3  │
│    4    │  指向4  │
└─────────┴─────────┘

查找过程：查找key=3 → 找到指针 → 直接访问目标记录

1. PageHelper 分页

1.1 使用方法

PageHelper.startPage(pageNum, pageSize); 
List<User> list = userMapper.selectAll(); 
PageInfo<User> pageInfo = new PageInfo<>(list);

一、引言：ID生成策略的核心价值

在分布式系统与高并发场景下，ID生成策略直接影响数据库性能、系统扩展性及业务安全性。MySQL自增ID、UUID、雪花ID（Snowflake）及业务ID作为主流方案，各有其适用场景与局限性。本文将从技术原理、性能表现、业务适配性三个维度展开分析，为开发者提供决策依据。

二、MySQL自增ID：简单高效的本地化方案

1. 技术原理与实现

MySQL自增ID通过 AUTO_INCREMENT 属性实现，每次插入数据时自动递增：

CREATE TABLE users (
    id INT AUTO_INCREMENT PRIMARY KEY,
    name VARCHAR(50)
);

一、什么是 PostgreSQL

PostgreSQL 是一个功能强大的 开源对象关系型数据库管理系统（ORDBMS），以其 稳定性、扩展性和标准兼容性 著称。
它最初由加州大学伯克利分校开发，是 世界上最先进的开源数据库之一，在语法标准、事务支持、并发控制等方面都非常完善。

二、核心特性

1. ACID 事务支持
   PostgreSQL 完全支持事务的四大特性（原子性、一致性、隔离性、持久性），确保数据安全与一致性。

2. 多版本并发控制（MVCC）
   通过 MVCC 机制，实现高效的读写并发，无需锁表，读写操作互不阻塞。

3. 丰富的数据类型
   支持 JSON、数组、UUID、几何类型、XML 等多种数据结构，适合结构化与半结构化数据场景。

4. 可扩展性强
   用户可自定义函数、操作符、索引类型，甚至可编写自己的数据类型与存储过程语言。

5. 强大的查询优化器
   PostgreSQL 拥有基于代价的查询优化器，可在复杂查询中选择最优执行计划。

6. 外部数据封装器（FDW）
   允许 PostgreSQL 访问其他数据库（如 MySQL、MongoDB），实现跨库查询与整合。

在 SQL 中，清空表数据有两种主要方式：TRUNCATE TABLE 和 DELETE FROM。它们的功能和适用场景有所不同，下面为你详细介绍：

一、使用 TRUNCATE TABLE（推荐快速清空）

语法：

TRUNCATE TABLE table_name;

CTE（Common Table Expression:公共表表达式）

概念

CTE是一种临时命名的查询结果集，它允许我们在一个查询语句中多次引用。CTE在查询语句中定义，仅在该查询语句执行期间存在，就像是一个临时搭建的“舞台”，专门为当前查询服务。CTE通常用于简化复杂的查询，将一个大的查询逻辑拆分成多个小的、可管理的部分，从而提高查询的可读性和可维护性。

语法结构

WITH cte_name AS (
    SELECT ...  -- CTE的查询逻辑，定义这个临时结果集的内容
)
SELECT ... FROM cte_name;  -- 在主查询中使用CTE，就像使用一个普通的表一样

数据库表设计笔记

一、需求分析

• 明确业务场景：确定系统需存储的数据类型（如用户、商品、订单等）。
• 梳理数据关系：分析数据关联（一对一/一对多/多对多）。

二、表结构设计

1. 划分主题表

• 每张表围绕单一主题（如「用户表」「商品表」），避免混合无关数据。

2. 定义字段

• 业务适配：字段需覆盖业务需求，避免冗余或缺失（例：用户表含userId、userName、phone）。
• 命名与类型：
  • 命名规范（如驼峰式：orderTime）；
  • 类型匹配（如整数用INT，文本用VARCHAR）。

在日常开发中，MySQL 内置了大量函数，掌握常见函数的分类及使用场景，有助于提升 SQL 编写效率与可读性。

一、字符串函数

用于处理文本内容，常见于数据清洗、字符串拼接、截取等场景。