Главная страница статей --> Советы по фотошопу, графике и хитрости в построении php кода

Работа с MySQL. На дорожку

Источник: realcoding.net

Во избежание путаницы полей (если встречаются поля с одинаковыми названиями) используйте в запросах оператор AS: SELECT table1.id as id1, table2.id as id2. Это поможет избежать ошибок в запросе (например, если не указана таблица, а поле с таким названием есть в нескольких запрашиваемых таблицах, mysql выдаёт ошибку), а так же вы избежите недоразумений при работе с полученными данными (echo $row[id1] писать гораздо проще, чем $row[$x]).

  • Во избежание путаницы полей (если встречаются поля с одинаковыми названиями) используйте в запросах оператор AS: SELECT table1.id as id1, table2.id as id2. Это поможет избежать ошибок в запросе (например, если не указана таблица, а поле с таким названием есть в нескольких запрашиваемых таблицах, mysql выдаёт ошибку), а так же вы избежите недоразумений при работе с полученными данными (echo $row[id1] писать гораздо проще, чем $row[$x]).
  • Данные типа DATE, TIME, DATETIME и TIMESTAMP можно форматировать с помощью функции date_format (см. руководство по mysql). Используйте его, и не форматируйте данные через php - это не просто самодеятельность, а ещё и растрата системных ресурсов.
  • По возможности минимально используйте LEFT JOIN для объединения таблиц. Это весьма трудоёмкая операция для базы данных.
  • Там, где можно, используйте идентификаторы - выборка данных при указании ключевого поля происходит быстрее, чем при указании обычного.
  • Вместо WHERE id=1 OR id=3 OR id=232 можно использовать встроенную функцию IN: WHERE id IN (1,3,232).
  • Если нужен текстовый поиск, осторожней со знаком %. Во всяком случае, запросы типа somefield LIKE %a% лучше не делать - опять же слишком трудоёмкая операция. По крайней мере, надо фильтровать слова и отрезать те, которые короче 3 символов.
  • Используйте минимум необходимых полей в запросе. SELECT * FROM sometable выполняется медленнее, чем SELECT id FROM sometable, тем более если в таблице много данных. Для подсчёта количества строк в таблице вообще (или подпадающих под некоторое условие) достаточно одного поля.
  • Разбивайте данные на страницы, используя оператор LIMIT. Это экономит время выполнения запроса и уменьшает объем страницы, которую получает пользователь.

Даже если вам не грозит падение от наплыва посетителей, лучше взять себе в привычку, чтобы потом не было проблем с адаптацией к новым задачам. Теперь о безопасности работы

  • Старайтесь не допускать внесения в базу данных символа одинарной кавычки (), поскольку это служебный символ запросов БД. Перед внесением в базу поле можно обработать функцией str_replace: $somefield = str_replace(, , $somefield);

К тому же это лишний барьер на пути взломщиков вашего сайта. Пример взлома простой:

mysql_query("UPDATE users SET password=PASSWORD($passwd) WHERE login=$login");

Если кавычку не обработать на входе, злоумышленник может в качестве логина сунуть строку vasya_pupkin OR login LIKE%. В базу данных залетит запрос: mysql_query(UPDATE users SET password=PASSWORD($passwd) WHERE login=vasya_pupkin OR login LIKE %); То есть все пароли будут одинаковые. Это только один пример. Итак,

  • Обрабатывайте данные, получаемые из адресной строки или из формы, и приводите их к нужному типу во избежание ошибок и взломов сайта. (ещё пример: если требуется идентификатор, то есть целое число, надо обработать его с помощью intval: $id = intval($id)).

Запросы на вставку строки (INSERT)


  • Поле идентификатора вставлять не нужно. На это есть свойство поля AUTO_INCREMENT.

Забавно читать, как в форуме пишут:

- Как мне быть с генератором случайных чисел?! неправильно работает!
- А зачем тебе?
- Да в базе id использовать...

В общем, не надо самодеятельности.

  • Если в поле формата DATE, TIME, DATETIME или TIMESTAMP надо вставить текущее время, используйте встроенную в mysql функцию NOW: INSERT INTO vote (ip, date) VALUES ($REMOTE_ADDR, NOW())
  • Хранимые в базе пароли лучше прикрыть функцией php md5: INSERT INTO user (login, pass) VALUES ($login, . md5($pass). ) SELECT * FROM user WHERE login=$login AND pass=. md5($pass)

Советы, кажется, уже исчерпаны. Напоследок. С недавних пор я стал думать, что при написании скриптов, работающих с БД, надо ориентироваться не только на глупого и шаловливого посетителя, но и на криворукого администратора. Даже если мы внимательно будем следить за текстом, который вставляем в текстовое поле (одинарные кавычки не писать, делать их автозамену в Word-е, белое не носить), вероятность попадания служебных символов в запрос ненулевая.



Похожие статьи:
- Создание пакетов и модулей в Perl
- Пишем свой чат
- Фильтруй базар
- Антиспамовые фильтры
- Раскрутка сайта своими силами
- 10 советов для успеха в Гугле
- Легкая навигация на сайте
- Практические рекомендации по раскрутке сайта
- Обеспечение межсетевой защиты
- Программирование на PHP и register_globals
- Приемы сетевой обороны на PHP
- Баннерное дело
- Как узнать, откуда пришли посетители


Оглавление | Обсудить на форуме | Главная страница сайта | Карта сайта |

Контакты
Редакция:
[0.001]