经常收到安全部门的警告邮件，SQL注入，XSS攻击漏洞，等等。偶尔还被黑客挂了小马，郁闷不。 数据库执行太慢（月小升博客的经验，基本是没有正确使用索引导致） 看看MYSQL常犯的11个错误 1、使用MyISAM而不是InnoDB MySQL有很多的数据库引擎，单一般也就用MyISAM和InnoDB。 MyISAM是默认使用的。但是除非你是建立一个非常简单的数据库或者只是实验性的，那么到大多数时候这个选择是错误的。MyISAM不支持外键的 约束，这是保证数据完整性的精华所在啊。另外，MyISAM会在添加或者更新数据的时候将整个表锁住，这在以后的扩展性能上会有很大的问题。 解决办法很简单：使用InnoDB。 2、使用PHP的mysql方法 PHP从一开始就提供了MySQL的函数库。很多程序都依赖于mysql_connect、mysql_query、mysql_fetch_assoc等等，但是PHP手册中建议： 如果你使用的MySQL版本在4.1.3之后，那么强烈建议使用mysqli扩展。 mysqli，或者说MySQL的高级扩展，有一些优点： 有面向对象的接口 prepared statements（预处理语句，可以有效防止SQL-注入攻击，还能提高性能） 支持多种语句和事务 另外，如果你想支持多数据库那么应该考虑一下PDO。 3、不过滤用户输入 应该是：永远别相信用户的输入。用后端的PHP来校验过滤每一条输入的信息，不要相信JAVAscript。像下面这样的SQL语句很容易就会被攻击： $username = $_POST["name"]; $password = $_POST["password"]; $sql = "SELECT userid FROM usertable WHERE username='$username'AND password='$password';"; // run query... 这样的代码，如果用户输入”admin’;”那么，就相当于下面这条了： SELECT userid … 继续阅读 →