上一部分讲的基本上是一些简单,常用的命令。下面的可能会稍稍复杂一点的。
1. 分组 group by ,having
比如说,有如下的一张表。venid表示的是供应商的id。
要求1:
查询供应商id=100的供应商提供的商品的数量
select count(id) from product where venid=100;
要求2:
返回每个供应商提供的商品的数量
select venid,count(*) from product group by venid;
要求3:
返回每个供应商提供的商品的数量,并且要求venid是小于300的供应商
select venid,count(*) from product where venid<300 group by venid;
要求4:
返回每个供应商提供的商品的数量,并且要求供应商提供的商品的数量大于4
select venid,count(*) from product group by venid having count(*)>4;
2. 子查询
要求1:
查询学号是3120610046,3120610047,3120610048,3120610049的学生
select * from grade where id in (3120610046,3120610047,3120610048,3120610049);
要求2:
在成绩表里面查询成绩是大于85分的,然后在名字表里面找到它们的名字.
select * from id_name where id in (select id from grade where grade>85);
3. 连接表
连接分为左连接,右连接和内连接。
区别在于:
左连接:是以左边特有的id和都有的id,为表的基准。
右连接:是以右边特有的id和都有的id,为表的基准。
内连接:是以都有的id为基准。
要求1:
将成绩表和姓名表连接起来,然后查询id,name,分数。
#这样的查询是默认的内连接
select grade.id ,id_name.name,score from grade ,id_name
where grade.id=id_name.id limit 5;
#指明是哪一种连接的方式
select grade.id ,id_name.name,score from
grade inner join id_name on
grade.id=id_name.id;
4. 组合查询 union
union的作用是将多次查询的结果合并(默认的是去重的)
#这条命令的执行结果就是将两次查询的结果合并
select id ,score from grade where id<3120610046
union
select id,score from where grade grade>80;
5. 插入,更新,删除数据
与查询相比较,插入,更新,删除数据的操作都比较单一和固定。这个就不写了。
需要注意的就是在更新和删除的时候,一定要加上where条件,要不就很容易出现删除所有数据的情况。
6. 创建视图
视图是一个虚表,使用视图的好处是:
- 可以有效的重用sql语句,不知用每一次复杂的链接表的操作要重写一次
- 简化复杂的sql操作
3.使用一张表的一部分,而不是全部,这样可以保护数据。
7.SQL注入
原理是通过在提交的表单里面输入特殊字符,使sql语句被截断。比如如下:
// 设定$name 中插入了我们不需要的SQL语句
$name = "Qadir'; DELETE FROM users;";
mysqli_query($conn, "SELECT * FROM users WHERE name='{$name}'");
那么,如何通过sql注入来登录呢?
$name = "xiaoming"
$pwd="123456"
#这是正常情况下的登录的语句
mysqli_query($conn, "SELECT * FROM users WHERE name='{$name}' and pwd= {$pwd} ");
#sql注入
$name = "xiaoming"
$pwd="123456 or '1' =1 "
mysqli_query($conn, "SELECT * FROM users WHERE name='{$name}' and pwd= {$pwd} ");
#我们抛开php语句的限制,单独看sql
#其实就是这样的差距
select * from user where name='xiaoming' and pwd=123456;
select * from user where name='xiaoming' and pwd=123456 or 1='1' ;
#第二个sql语句相当于在自己的后面 或了一个一定为真的条件,那么就相当于
select * from user ;
这就是sql注入的基本原理,防止sql注入的方法:
1.永远不要信任用户的输入。对用户的输入进行校验,可以通过正则表达式,或限制长度;对单引号和 双"-"进行转换等。
2.永远不要使用动态拼装sql,可以使用参数化的sql或者直接使用存储过程进行数据查询存取。
3.不要把机密信息直接存放,加密或者hash掉密码和敏感的信息。
4.永远不要使用管理员权限的数据库连接,为每个应用使用单独的权限有限的数据库连接。
5.应用的异常信息应该给出尽可能少的提示,最好使用自定义的错误信息对原始错误信息进行包装。
6.sql注入的检测方法一般采取辅助软件或网站平台来检测,软件一般采用sql注入检测工具jsky,网站平台就有亿思网站安全平台检测工具。MDCSOFT SCAN等。采用MDCSOFT-IPS可以有效的防御SQL注入,XSS攻击等。
8.索引机制
索引的作用有点像折半查找,要比顺序查找很有效率。mysql也可以通过添加索引的方式,提高查找的效率。
通常来说,可以遵循以下一些指导原则:
(1)越小的数据类型通常更好:越小的数据类型通常在磁盘、内存和CPU缓存中都需要更少的空间,处理起来更快。
(2)简单的数据类型更好:整型数据比起字符,处理开销更小,因为字符串的比较更复杂。在MySQL中,应该用内置的日期和时间数据类型,而不是用字符串来存储时间;以及用整型数据类型存储IP地址。
(3)尽量避免NULL:应该指定列为NOT NULL,除非你想存储NULL。在MySQL中,含有空值的列很难进行查询优化,因为它们使得索引、索引的统计信息以及比较运算更加复杂。你应该用0、一个特殊的值或者一个空串代替空值。
索引的类型:
有两种实现的方式,不同的存储引擎的索引都不一定完全相同。一种是b-tree索引,一种是hash索引。这两种索引的好坏对比,就基本上是b-tree和hash这两种数据结构的区别了。
组合索引:
假设现在一个数据库有两列,一列是id,一列是name。现在给这两列加上一个组合索引。这个组合索引可以在下面的两种查询里面发挥作用:
#第一种
select * from t1 where id=xxx and name=xxxx;
#第二种
select * from t1 where id=xxx;
但是,在下面这种查询就不能发挥索引的作用了
select * from t1 where name=xxxx
也就是说,设置组合索引的话,是有一个顺序的。我猜存储引擎是根据第一列的顺序建立b-tree,然后如果第一列相同,再根据第二列的顺序 。所以,想要让自己建立的索引生效的话,那么必须在查询的时候,要不然是两列的都作为where条件,要不然是第一列单独作为where条件。唯一不能的是,第二列单独作为where条件。
其他:
MySQL 常用命令小结1 http://www.jianshu.com/p/1039281af107
以上所以命令操作的表的备份文件:
https://github.com/zhaozhengcoder/hadoop/tree/master/mysqldump
