MySQL_踩坑记录

以下是一些常见的 MySQL 踩坑记录：

1. 字符编码问题

• 问题描述

• 在存储包含特殊字符（如中文、日文、韩文等非 ASCII 字符）的数据时，可能会出现乱码现象。这通常是因为数据库、表、列的字符编码设置不一致，或者与客户端连接的字符编码不匹配导致的。
• 例如，当数据库设置为 latin1 编码，而应用程序使用 UTF - 8 发送数据时，插入的非 ASCII 字符就会变成乱码。

• 解决方法

• 确保整个数据传输和存储链条上的编码一致。在创建数据库、表和列时，统一使用 UTF8mb4 编码（支持更广泛的 Unicode 字符）。
• 在连接 MySQL 数据库的客户端或应用程序中，设置连接字符编码为 UTF8mb4。在 Python 中使用 pymysql 连接 MySQL 时，可以通过 charset='utf8mb4' 参数设置。

2. 索引使用不当

• 问题描述

• 虽然创建了索引，但查询性能并没有得到明显提升。这可能是因为索引创建不合理，如在数据重复率高的列上创建索引（如性别列，只有男、女两个值），或者查询语句没有正确利用索引。
• 例如，在查询中使用函数处理索引列，会导致索引失效。像 SELECT * FROM users WHERE YEAR(birth_date) = 2000，即使 birth_date 列有索引，此查询也不会使用该索引。

• 解决方法

• 谨慎选择创建索引的列，优先在经常用于查询条件（如 WHERE 子句）、连接条件（如 JOIN 子句）且数据重复率低的列上创建索引。
• 优化查询语句，避免在索引列上使用函数、表达式等操作。如果需要对日期列进行年份筛选，可以考虑修改查询方式，如 SELECT * FROM users WHERE birth_date BETWEEN '2000 - 01 - 01' AND '2000 - 12 - 31'。

3. 数据类型选择错误

• 问题描述

• 使用了不恰当的数据类型，导致存储空间浪费、数据精度问题或查询性能下降。例如，用 VARCHAR 存储数值类型的数据，会使查询和排序操作比使用数值类型（如 INT 或 DECIMAL）更慢，而且可能会出现数据格式错误。
• 另一个例子是，使用 FLOAT 类型存储货币数据可能会导致精度损失，因为 FLOAT 是近似值类型，对于需要精确计算的金融数据不合适。

• 解决方法

• 根据数据的性质和用途选择合适的数据类型。对于整数，使用 TINYINT、SMALLINT、INT、BIGINT 等；对于精确的小数，使用 DECIMAL；对于日期时间，使用 DATETIME、DATE、TIME 等；对于文本，根据长度选择 CHAR、VARCHAR、TEXT 等类型。
• 在涉及金融数据时，优先考虑使用 DECIMAL 类型，并指定合适的精度和标度。

4. 事务处理问题

• 问题描述

• 事务没有正确提交或回滚，导致数据不一致。可能是由于代码中的异常处理不当，没有在发生异常时回滚事务，或者在自动提交模式下意外地修改了数据。
• 例如，在一个银行转账的事务中，如果从一个账户扣款成功，但向另一个账户加款时发生异常，而没有正确回滚事务，就会导致账户余额数据错误。

• 解决方法

• 在代码中正确使用事务管理。在支持事务的编程语言中，如在 Java 中使用 Connection 对象的 setAutoCommit(false)、commit() 和 rollback() 方法来控制事务。在 Python 中使用 pymysql 等库时，也可以通过类似的方式管理事务。
• 确保在事务代码块中对可能出现的异常进行全面处理，并在异常发生时及时回滚事务。

5. 连接数过多

• 问题描述

• 当应用程序频繁地创建和销毁与 MySQL 的连接，或者没有及时释放连接，会导致连接数过多。这可能会使数据库拒绝新的连接请求，出现 Too many connections 错误。
• 一些应用框架如果配置不当，可能会频繁创建连接。例如，在高并发的 Web 应用中，如果每个请求都创建一个新的 MySQL 连接，而不进行连接池管理，很容易出现这个问题。

• 解决方法

• 使用连接池来管理数据库连接。许多编程语言都有成熟的数据库连接池库，如 Java 中的 Druid、HikariCP，Python 中的 DBUtils。连接池可以在初始化时创建一定数量的连接，并在需要时分配连接，使用完后回收连接，避免频繁创建和销毁连接。
• 合理配置连接池的参数，如最大连接数、最小连接数、连接超时时间等，根据应用的并发情况和数据库服务器的性能进行优化。

6. SQL 注入漏洞

• 问题描述

• 如果用户输入的内容直接嵌入到 SQL 语句中，而没有进行适当的过滤和转义，攻击者可能通过输入恶意的 SQL 语句来篡改数据、获取敏感信息或执行其他恶意操作。
• 例如，在一个简单的登录验证中，如果将用户输入的用户名和密码直接拼接到查询语句中，如 SELECT * FROM users WHERE username = '${input_username}' AND password = '${input_password}'，攻击者可以通过输入 ' OR 1 = 1 -- 作为用户名来绕过密码验证。

• 解决方法

• 使用参数化查询（也称为预处理语句）。在大多数编程语言和数据库驱动中都支持参数化查询。在 Python 的 pymysql 中，例如 cursor.execute("SELECT * FROM users WHERE username = %s AND password = %s", (username, password))，这样用户输入会被视为参数值，而不是 SQL 语句的一部分，从而避免了 SQL 注入。
• 对用户输入进行严格的验证和过滤，例如检查输入的长度、格式等，但这不能替代参数化查询，而是作为一种补充的安全措施。