避免SQL注入以及如何保护您的数据库

好问题。以下是一些想法，排名不分先后:

Normalization, to at least the second normal form, is essential. Referential integrity is also essential, with proper cascading delete and update considerations. Good and proper use of check constraints. Let the database do as much work as possible. Don't scatter business logic in both the database and middle tier code. Pick one or the other, preferably in middle tier code. Decide on a consistent approach for primary keys and clustered keys. Don't over index. Choose your indexes wisely. Consistent table and column naming. Pick a standard and stick to it. Limit the number of columns in the database that will accept null values. Don't get carried away with triggers. They have their use but can complicate things in a hurry. Be careful with UDFs. They are great but can cause performance problems when you're not aware how often they might get called in a query. Get Celko's book on database design. The man is arrogant but knows his stuff.

永远不要以错误的文本编码插入数据。

一旦您的数据库受到多种编码的污染，您所能做的最好的事情就是应用启发式和手工劳动的某种组合。

RDBMS兼容性

查看是否需要在多个RDBMS中运行应用程序。如有，可能需要:

避免RDBMS SQL扩展 消除触发器和存储过程 遵循严格的SQL标准 转换字段数据类型 更改事务隔离级别

否则，这些问题应该分开处理，并开发应用程序的不同版本(或配置)。

了解用于数据库编程的工具!!

我浪费了很多时间试图理解为什么我的代码神秘地失败了。

例如，如果您正在使用。net，您需要知道如何正确使用System.Data.SqlClient名称空间中的对象。您需要知道如何管理SqlConnection对象，以确保它们被打开、关闭，并在必要时正确地处理。

你需要知道，当你使用SqlDataReader时，有必要将它与你的SqlConnection分开关闭。您需要了解如何在适当的时候保持连接打开，以及如何最小化对数据库的访问次数(因为它们在计算时间方面相对昂贵)。

每个开发人员都应该知道这是错误的:“分析数据库操作与分析代码完全不同。”

在传统意义上有一个明确的Big-O。当你做一个EXPLAIN PLAN(或等效)时，你看到的是算法。有些算法涉及嵌套循环，并且是O(n ^ 2)。其他算法涉及到b树查找，并且是O(n log n)。

这是非常非常严重的。这是理解为什么索引很重要的关键。这对于理解速度-标准化-非标准化之间的权衡至关重要。这对于理解为什么数据仓库使用星型模式是非常重要的，而星型模式并没有对事务更新进行规范化。

如果您不清楚所使用的算法，请执行以下操作。停止。解释查询执行计划。相应调整指标。

同样，结论是:索引越多越好。

有时，专注于一个操作的索引会降低其他操作的速度。根据这两个操作的比例，添加一个索引可能有良好的效果，也可能没有整体影响，或者对整体性能不利。