一、SQL开发基础规范

1.1 标准化命名约定

在数据库对象命名上需遵循统一规范，表名应采用复数形式（如users而非user），字段名使用小写蛇形命名法（如created_at）。主键字段建议命名为id，外键字段采用表名_id格式（如order_id）。索引命名需包含表名与字段名（如idx_users_email），便于后续维护。

1.2 数据类型选择原则

字段类型选择直接影响存储效率与查询性能。对于固定长度字符串，优先使用CHAR而非VARCHAR；日期时间类型应统一采用DATETIME或TIMESTAMP，避免混合使用；数值类型需根据业务范围选择最小适配类型（如TINYINT仅适用于0-255范围）。

1.3 基础语法最佳实践

-- 错误示例：隐式类型转换
SELECT * FROM orders WHERE status = '1'; 
-- 正确写法：显式类型匹配
SELECT * FROM orders WHERE status = 1;
-- 错误示例：多表连接未指定驱动表
SELECT * FROM orders o, order_items oi WHERE o.id = oi.order_id;
-- 正确写法：明确连接顺序
SELECT * FROM orders o JOIN order_items oi ON o.id = oi.order_id;

二、性能优化核心策略

2.1 索引优化方案

复合索引需遵循最左前缀原则，例如索引(a,b,c)可支持a=1、a=1 AND b=2查询，但无法优化b=2条件。对于高频查询条件，建议创建覆盖索引包含所有必要字段。定期使用EXPLAIN分析执行计划，重点关注type列（应避免出现ALL全表扫描）。

2.2 查询重写技巧

-- 原始低效查询
SELECT COUNT(*) FROM orders WHERE status = 'completed' AND created_at > '2023-01-01';
-- 优化方案1：添加复合索引
ALTER TABLE orders ADD INDEX idx_status_created (status, created_at);
-- 优化方案2：使用子查询减少扫描范围
SELECT COUNT(*) FROM (
    SELECT id FROM orders WHERE status = 'completed' LIMIT 100000
) AS tmp WHERE created_at > '2023-01-01';

2.3 分库分表实施

当单表数据量超过500万行或存储空间超过20GB时，应考虑水平分表。分片键选择需满足：高基数性、业务相关性、查询高频性。例如订单表可按用户ID哈希分10个库，每个库再按时间分12个表，形成db_${hash}.order_${year_month}的命名结构。

三、安全防护体系

3.1 SQL注入防御

所有用户输入必须通过参数化查询处理：

// 错误示例：字符串拼接
String sql = "SELECT * FROM users WHERE username = '" + username + "'";
// 正确示例：预编译语句
PreparedStatement stmt = conn.prepareStatement("SELECT * FROM users WHERE username = ?");
stmt.setString(1, username);

3.2 权限最小化原则

数据库账户应遵循最小权限分配：

• 应用账户仅授予必要表的SELECT/INSERT/UPDATE权限
• 运维账户限制在特定IP段访问
• 禁止使用root账户进行日常操作
• 定期审计权限分配情况

3.3 数据脱敏处理

敏感字段（如身份证号、手机号）在查询时应进行脱敏：

-- 原始查询
SELECT phone FROM users WHERE id = 123;
-- 脱敏处理
SELECT CONCAT(SUBSTR(phone,1,3),'****',SUBSTR(phone,8)) AS masked_phone 
FROM users WHERE id = 123;

四、高级功能应用

4.1 事务隔离级别选择

根据业务场景选择合适的事务隔离级别：

• 读未提交（READ UNCOMMITTED）：允许脏读，性能最高但数据一致性最差
• 读已提交（READ COMMITTED）：避免脏读，Oracle默认级别
• 可重复读（REPEATABLE READ）：避免不可重复读，MySQL默认级别
• 串行化（SERIALIZABLE）：完全隔离，性能最差

4.2 存储过程与函数

复杂业务逻辑可封装为存储过程：

CREATE PROCEDURE process_order(IN order_id INT)
BEGIN
    DECLARE order_status VARCHAR(20);
    SELECT status INTO order_status FROM orders WHERE id = order_id;
    IF order_status = 'pending' THEN
        UPDATE orders SET status = 'processing' WHERE id = order_id;
        -- 调用其他存储过程
        CALL update_inventory(order_id);
    END IF;
END;

4.3 事件调度器

定时任务可通过事件调度器实现：

-- 创建每天凌晨清理过期数据的事件
CREATE EVENT daily_cleanup
ON SCHEDULE EVERY 1 DAY STARTS CURRENT_TIMESTAMP
DO
    DELETE FROM temp_data WHERE created_at < DATE_SUB(NOW(), INTERVAL 7 DAY);

五、常见问题解决方案

5.1 死锁处理流程

1. 通过SHOW ENGINE INNODB STATUS获取死锁信息
2. 分析事务执行顺序与锁竞争情况
3. 调整事务隔离级别或拆分大事务
4. 优化索引减少锁范围
5. 设置合理的锁等待超时时间

5.2 慢查询优化步骤

1. 开启慢查询日志：set global slow_query_log = ON;
2. 设置阈值：set global long_query_time = 2;
3. 使用mysqldumpslow分析日志
4. 对高频慢查询进行索引优化或SQL重写
5. 考虑使用缓存层减少数据库压力

5.3 跨库查询方案

对于需要关联多个数据库的查询，可采用：

1. 应用层分两次查询后合并结果
2. 使用联邦引擎（如MySQL Federated）
3. 构建数据仓库进行ETL处理
4. 采用分布式查询引擎（如Presto）

本手册系统梳理了SQL开发全流程的关键要点，从基础规范到高级特性，从性能优化到安全防护，提供了可落地的实施方案。开发者可根据实际业务场景选择适用策略，建议定期进行代码审查与性能测试，持续优化数据库访问层实现。对于超大规模分布式系统，建议结合消息队列、缓存中间件等组件构建更复杂的架构方案。