关于mysql调用新手们常犯的11个错误总结

前言

大家可能经常收到安全部门的警告邮件，SQL注入，XSS攻击漏洞等等，偶尔还被黑客挂了小马，郁闷不？还有数据库执行太慢（根据经验基本是没有正确使用索引导致） ，下面就跟着小编来一起看看MYSQL新手们常犯的11个错误吧。

1、使用MyISAM而不是InnoDB

MySQL有很多的数据库引擎，单一般也就用MyISAM和InnoDB。

MyISAM是默认使用的。但是除非你是建立一个非常简单的数据库或者只是实验性的，那么到大多数时候这个选择是错误的。MyISAM不支持外键的 约束，这是保证数据完整性的精华所在啊。另外，MyISAM会在添加或者更新数据的时候将整个表锁住，这在以后的扩展性能上会有很大的问题。

解决办法很简单：使用InnoDB。

2、使用PHP的mysql方法

PHP从一开始就提供了MySQL的函数库。很多程序都依赖于mysql_connect、mysql_query、mysql_fetch_assoc等等，但是

PHP手册中建议：

如果你使用的MySQL版本在4.1.3之后，那么强烈建议使用mysqli扩展。

mysqli，或者说MySQL的高级扩展，有一些优点：

有面向对象的接口

prepared statements（预处理语句，可以有效防止SQL-注入攻击，还能提高性能）

支持多种语句和事务

另外，如果你想支持多数据库那么应该考虑一下PDO。

3、不过滤用户输入

应该是：永远别相信用户的输入。用后端的PHP来校验过滤每一条输入的信息，不要相信JAVAscript。像下面这样的SQL语句很容易就会被攻击：

这样的代码，如果用户输入”admin';”那么，就相当于下面这条了：

这样入侵者就能不输入密码，就通过admin身份登录了。

4、不使用UTF-8

那些英美国家的用户，很少考虑语言的问题，这样就造成很多产品就不能在其他地方通用。还有一些GBK编码的，也会有很多的麻烦。

UTF-8解决了很多国际化的问题。虽然PHP6才能比较完美的解决这个问题，但是也不妨碍你将MySQL的字符集设置为UTF-8。

5、该用SQL的地方使用PHP

如果你刚接触MySQL，有时候解决问题的时候可能会先考虑使用你熟悉的语言来解决。这样就可能造成一些浪费和性能比较差的情况。比如：计算平均值的时候不适用MySQL原生的AVG()方法，而是用PHP将所有值循环一遍然后累加计算平均值。

另外还要注意SQL查询中的PHP循环。通常，在取得所有结果之后再用PHP来循环的效率更高。