锁

• 概念：锁是计算机协调多个进程或线程并发访问某一资源的机制。即谁拥有锁，谁才可访问该资源。
• 分类：
  锁的类型一般分为互斥锁/读写锁，独占锁/共享锁等。在mysql中，不同的存储引擎支持不同的锁机制。比如，MyISAM和MEMORY存储引擎采用的是表级锁（table-level locking）；InnoDB存储引擎既支持行级锁（row-level locking），也支持表级锁，但默认情况下是采用行级锁。
  • 表级锁:开销小，加锁快；不会出现死锁；锁定粒度大，发生锁冲突的概率最高，并发度最低。
    1. 模式: 表共享锁，表独占锁
  • 行级锁:开销大，加锁慢；会出现死锁；锁定粒度最小，发生锁冲突的概率最低，并发度也最高。

索引

• 概念：
  在关系数据库中，索引是一种单独的、物理的对数据库表中一列或多列的值进行排序的一种存储结构，它是某个表中一列或若干列值的集合和相应的指向表中物理标识这些值的数据页的逻辑指针清单。
• 意义：
  MySQL索引的建立对于MySQL的高效运行是很重要的，索引可以大大提高MySQL的检索速度。
• 分类：
  • 单列索引，即一个索引只包含单个列，一个表可以有多个单列索引，但这不是组合索引。
  • 组合索引，即一个索引包含多个列。
• 缺点:
  虽然索引大大提高了查询速度，同时却会降低更新表的速度，如对表进行INSERT、UPDATE和DELETE。因为更新表时，MySQL不仅要保存数据，还要保存一下索引文件。建立索引会占用磁盘空间的索引文件。一般索引不超过的80%

事务

• 概念： 事务就是数据库中以一次提交的操作，以一次提交为一个事务
• 内容：
  1. 在 MySQL 中只有使用了 Innodb 数据库引擎的数据库或表才支持事务
  2. 事务处理可以用来维护数据库的完整性，保证成批的 SQL 语句要么全部执行，要么全部不执行。
  3. 事务用来管理 insert,update,delete 语句
  4. 事务必须满足四个条件ACID:
     • 即原子性(Atomicity)、一致性(Correspondence)、隔离性(Isolation)、持久性(Durability)。
     • 原子性： 一个事务中的操作要么全部成功要么全部失败，不存在中间状态。事务执行发生错误会被回滚。
     • 一致性：在事务开始前和事务结束后，数据的完整性没有被破坏。
     • 隔离性：数据库允许多事务拥有同时对同一个数据进行读取和修改的能力，而这个时候就存在数据安全的问题，隔离性就可以有效防止这个问题。
     • 持久性：事务处理结束后，对数据的修改就是永久的，即便系统故障也不会丢失。

• 补充：
  • 多事务操作产生的问题，如下：
    1. 脏读：一个事务读取到了另外一个事务没有提交的数据。
    2. 幻读： 同一事务中，用同样的操作读取两次，得到的记录数不相同。记录增加或减少
    3. 不可重复读： 在同一事务中，两次读取同一数据，得到内容不同。记录相同，但记录内容被修改
    4. 丢失更新 ：两个事务操作同一个数据时，引起错误，而产生丢失更新
  • 针对产生的问题，事务隔离分为不同的级别。分别如下
    1. 可读未提交Read Uncommitted ，这个级别，就是一个事务可以读取另一个事务还未提交的数据。隔离级别最低。数据最不安全。
    2. 可读已提交Read Committed，这个级别，就是一个事务只可以读取另一个事务已经提交的数据。Oracle默认级别
    3. 可重复读Repeatable Read ，在这个级别，在同一个事务内，所有查询都是事务开始时的数据。这个是InnoDB默认级别
    4. 串行化Serializable，完全串行化的读，每次读都需要获得表级共享锁，读写相互都会阻塞。安全级别最高

• 补充：
  1.ACID和CRUD
  ACID是指事务的四个特点。CRUD是指增删改查四种操作

执行流程

1. 连接器：
   负责客户端与服务端的连接，发送sql给服务器执行
2. 缓存：
   缓存的设计最初是为了提高效率，如果无法命中缓存,就继续走到分析器的的一步,如果命中缓存就直接返回给客户端 ，后来太过繁琐被删除
3. 分析器：
   分析器的主要作用是将客户端发过来的sql语句进行分析，这将包括预处理与解析过程，生成一个解析树
4. 优化器：
   根据执行计划进行最优的选择,匹配合适的索引,选择最佳的执行方案
5. 执行器
   执行器会调用存储引擎的API,api调用执行引擎进行执行。

执行顺序

SQL注入

• 概念：通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。
• 测试：https://www.jb51.net/hack/375304.html
• 防御：
  1. 永远不要信任用户的输入。对用户的输入进行校验，可以通过正则表达式，或限制长度；对单引号和 双"-"进行转换等。
  2. 永远不要使用动态拼装sql，可以使用参数化的sql或者直接使用存储过程进行数据查询存取。
  3. 永远不要使用管理员权限的数据库连接，为每个应用使用单独的权限有限的数据库连接。
  4. 不要把机密信息直接存放，加密或者hash掉密码和敏感的信息。
  5. 应用的异常信息应该给出尽可能少的提示，最好使用自定义的错误信息对原始错误信息进行包装
  6. sql注入的检测方法一般采取辅助软件或网站平台来检测，软件一般采用sql注入检测工具jsky，网站平台就有亿思网站安全平台检测工具。MDCSOFT SCAN等。采用MDCSOFT-IPS可以有效的防御SQL注入，XSS攻击等。

SQL优化

1. 学会查看sql的执行计划 explain
2. 避免全表扫描，执行操作要走索引
3. 避免使用特殊操作造成索引跳扫。例如模糊查询，对where子句进行操作
4. 列裁剪，不要返回使用*
5. 表裁剪，注意使用分页查询与分段查询