一、代碼優化

代碼結構層次的優化(目的:更加方便代碼的維護--可維護性，可讀性)

1.代碼注釋(代碼規范)

2.工具類的封裝(方便代碼的維護，使代碼結構更加清晰不臃腫，保證團隊里代碼 質量一致性)

3.公共部分的提取

代碼性能的優化(目的:使程序的性能最優化)

1.使用一些性能比較高的類(bufferInputStream)

2.緩沖區塊的大小(4k或者8k)

3.公共部分的提取

4.通常要用stringbuffer替代string加號拼接

二、業務優化

我們做項目的時候業務優化這方面最主要是從用戶體驗度角度進行考慮,減少用戶操 作的步驟提高工作效率，通常有以下幾種：

1.可以通過tabindex屬性來改變tab鍵盤的操作順序

2.可以通過回車鍵來進行搜索或者提交操作

3.對于單選按鈕和復選按鈕可以通過操作后面的文本來選擇前面的單選按鈕以及復選 按鈕

4.添加的信息要按照id倒序進行排列

5.進行搜索操作時加入js loading操作（不僅告訴用戶所進行的請求正在被處理，而 且防止用戶多次點擊提交操作）

6.當進行刪除操作的時候要彈出提示框，警告用戶要進行刪除操作，是否確認。

7.根據returnURL在用戶登錄成功后直接跳到想要訪問的資源。

8.進行刪除操作時通過confirm提示用戶是否確認刪除操作，操作完后提示操作是否 成功。

9.減少用戶操作的步驟

10.使用autocomplete插件快速進行搜索

必背，必做:

1.可以通過回車鍵來進行搜索或者提交操作

2.添加的信息要按照id倒序進行排列

3.進行搜索操作時加入js loading操作（不僅告訴用戶所進行的請求正在被處理，而且防止用戶多次點擊提交操作）

4.當進行刪除操作的時候要彈出提示框，警告用戶要進行刪除操作，是否確認,如果刪除成功則彈出提示框告訴用戶。

5.減少用戶操作的步驟

6.通過ztree，以及kindeiditor來提高用戶的體驗度

三、sql優化

1、SELECT子句中避免使用 *， 盡量應該根據業務需求按字段進行查詢

2、盡量多使用COMMIT如對大數據量的分段批量提交釋放了資源，減輕了服務器壓力

3、在寫sql語句的話，盡量保持每次查詢的sql語句字段用大寫，因為oracle總是先解析 sql語句，把小寫的字母轉換成大寫的再執行

4、用UNION-ALL 替換UNION，因為UNION-ALL不會過濾重復數據，所執行效率 要快于UNION,并且UNION可以自動排序，而UNION-ALL不會

5、避免在索引列上使用計算和函數,這樣索引就不能使用

Sql優化精簡版：

1.(重點)(必須說) SELECT語句中避免使用 *，

盡量應該根據業務需求按字段進行查詢

舉例：如果表中有個字段用的是clob或者是blob這種大數據字段的話，

他們的查詢應該根據業務需要來進行指定字段的查詢，切記勿直接用*

2.(重點) 刪除重復記錄(oracle)：

最高效的刪除重復記錄方法 ( 因為使用了ROWID)例子：

DELETE FROM EMP E WHERE E.ROWID > (SELECT MIN(X.ROWID)

FROM EMP X WHERE X.EMP_NO = E.EMP_NO);

3. 用>=替換>

如一個表有100萬記錄，一個數值型字段A，

A=0時，有30萬條；

A=1時，有30萬條；

A=2時，有39萬條；

A=3時，有1萬記錄。

那么執行 A>2 與 A>=3 的效果就有很大的區別了，因為 A>2 時，

ORACLE會先找出為2的記錄索引再進行比較，

而A>=3時ORACLE則直接找到=3的記錄索引。

4.(重點)盡量多使用COMMIT

如對大數據量的分段批量提交

5. (重點)用NOT EXISTS 或（外連接+判斷為空）方案 替換 NOT IN操作符

此操作是強列推薦不使用的，因為它不能應用表的索引。

推薦方案：用NOT EXISTS 或（外連接+判斷為空）方案代替

6.(重點 必須說)LIKE操作符(大數據的全文檢索使用luncene)(solr)

因為使用like不當，會導致性能問題，原因是like在左右兩邊都有

%的時候，不會使用索引。

如LIKE '%5400%' 這種查詢不會引用索引，

而LIKE 'X5400%' 則會引用范圍索引。

一個實際例子：

查詢營業編號 YY_BH LIKE '%5400%' 這個條件會產生全表掃描，

如果改成 YY_BH LIKE 'X5400%' OR YY_BH LIKE 'B5400%'

則會利用 YY_BH 的索引進行兩個范圍的查詢，性能肯定大大提高。

7.(重點,必須說)避免在索引列上使用計算和函數,這樣索引就不能使用

舉例:

低效：

SELECT … FROM DEPT WHERE SAL * 12 > 25000;

高效:

SELECT … FROM DEPT WHERE SAL > 25000/12;

8.(重點 必須說)用UNION-ALL 替換UNION，

因為UNION-ALL不會過濾重復數據而且不會自動排序，

所執行效率要快于UNION。

9. （優化,重點,3個方面 a.緩存 b.分段批量 c.存儲過程）減少訪問數據庫的次數

舉例:如果批量刪除多條數據，可以用 delete from tableName where id

in (1,2,3)

而不要用多條delete語句進行刪除

10.（重點 必須說）用TRUNCATE替代DELETE

TRUNCATE不記錄日志，DELETE記錄日志，所以TRUNCATE要快于DELETE

但是一旦用TRUNCATE進行刪除就不能進行恢復,TRUNCATE是刪除整張表的數據

不能加where條件。

==================================================================

mysql,sqlserver中如果

id為自增類型，那么如果用TRUNCATE刪除，則id字段再插入數據時從1開始，

如果delete刪除的話，則從刪除之前的id的值繼續增長。

四、防sql注入

針對防sql注入，我們通常是這樣做的：

首先在前臺頁面對用戶輸入信息進行js驗證，對一些特殊字符進行屏蔽，

比如：or ,單引號，--，= ，還有就是限制用戶名輸入的長度，我們一般

將其限制在6---13位。另外，對于用戶的敏感信息我們進行Md5加密，還有

，為了增加用戶體驗度和用戶友好度，為了不使用戶看到一些詳細的異常信息

我們會進行錯誤信息頁面的定制，像404,500錯誤。另一個我層面講，這樣做

也是為了保護我們的一些重要信息。此外，我們會給特定的人分配定定的權限

，而不是給其分配管理員權限！

sql注入

所謂SQL注入，就是通過一些含有特殊字符的sql語句發送到服務器欺騙服務器并進行攻擊。（特殊字符：or, 單引號，--，空格）

Sql注入的防護

1.永遠不要信任用戶的輸入。對用戶的輸入進行校驗，可以通過正則表達式（js正則或者java后臺正則），或限制長度；對單引號和雙"-"進行轉換等。

2.永遠不要使用動態拼裝sql，使用參數化的sql。（永遠不要使用+號拼接sql字符串，而是使用？傳參的方式進行）

3.不要給用戶太高的權限而根據需求進行賦權

4.對敏感信息進行加密 如md5(單向加密不可逆轉)。

5.自定義錯誤頁面。目的是為了不把我們的程序的bug暴露在別有用心的人的面前。而去不會讓用戶看到報錯的頁面，也提高了用戶的體驗度。

SQL注入防范

使用參數化的過濾性語句

要防御SQL注入，用戶的輸入就絕對不能直接被嵌入到SQL語句中。恰恰相反，用戶的輸入必須進行過濾，或者使用參數化的語句。參數化的語句使用參數而不是將用戶輸入嵌入到語句中。在多數情況中，SQL語句就得以修正。然后，用戶輸入就被限于一個參數。

輸入驗證

檢查用戶輸入的合法性，確信輸入的內容只包含合法的數據。數據檢查應當在客戶端和服務器端（java代碼）都執行之所以要執行服務器端驗證，是為了彌補客戶端驗證機制脆弱的安全性。

在客戶端，攻擊者完全有可能獲得網頁的源代碼，修改驗證合法性的腳本（或者直接刪除腳本），然后將非法內容通過修改后的表單提交給服務器。因此，要保證驗證操作確實已經執行，唯一的辦法就是在服務器端也執行驗證。你可以使用許多內建的驗證對象，例如Regular Expression Validator，它們能夠自動生成驗證用的客戶端腳本，當然你也可以插入服務器端的方法調用。如果找不到現成的驗證對象，你可以通過Custom Validator自己創建一個。

錯誤消息處理

防范SQL注入，還要避免出現一些詳細的錯誤消息，因為黑客們可以利用這些消息。要使用一種標準的輸入確認機制來驗證所有的輸入數據的長度、類型、語句、企業規則等。

加密處理

將用戶登錄名稱、密碼等數據加密保存。加密用戶輸入的數據，然后再將它與數據庫中保存的數據比較，這相當于對用戶輸入的數據進行了“消毒”處理，用戶輸入的數據不再對數據庫有任何特殊的意義，從而也就防止了攻擊者注入SQL命令。

存儲過程來執行所有的查詢

SQL參數的傳遞方式將防止攻擊者利用單引號和連字符實施攻擊。此外，它還使得數據庫權限可以限制到只允許特定的存儲過程執行，所有的用戶輸入必須遵從被調用的存儲過程的安全上下文，這樣就很難再發生注入式攻擊了。

使用專業的漏洞掃描工具

攻擊者們目前正在自動搜索攻擊目標并實施攻擊，其技術甚至可以輕易地被應用于其它的Web架構中的漏洞。企業應當投資于一些專業的漏洞掃描工具，如大名鼎鼎的Acunetix的Web漏洞掃描程序等。一個完善的漏洞掃描程序不同于網絡掃描程序，它專門查找網站上的SQL注入式漏洞。最新的漏洞掃描程序可以查找最新發現的漏洞。

確保數據庫安全

鎖定你的數據庫的安全，只給訪問數據庫的web應用功能所需的最低的權限，撤銷不必要的公共許可，使用強大的加密技術來保護敏感數據并維護審查跟蹤。如果web應用不需要訪問某些表，那么確認它沒有訪問這些表的權限。如果web應用只需要只讀的權限，那么就禁止它對此表的 drop 、insert、update、delete 的權限，并確保數據庫打了最新補丁。

安全審評

在部署應用系統前，始終要做安全審評。建立一個正式的安全過程，并且每次做更新時，要對所有的編碼做審評。開發隊伍在正式上線前會做很詳細的安全審評，然后在幾周或幾個月之后他們做一些很小的更新時，他們會跳過安全審評這關， “就是一個小小的更新，我們以后再做編碼審評好了”。請始終堅持做安全審評。

五、數據庫中常用術語：

ddl:數據定義語言 Create Drop Alter

dml:數據操縱語言 insert update delete select

dcl:數據控制語言 grant revoke

tcl:事務控制語言 commit rollback