一、MySQL存储引擎对比：InnoDB vs MyISAM

在使用MySQL时，选择合适的存储引擎对性能影响很大。最常见的两个引擎是 InnoDB 和 MyISAM，它们各自的设计目标不同，适用场景也不一样。

事务与数据安全性方面，InnoDB 支持事务处理，支持 COMMIT 和 ROLLBACK，适合电商、金融等要求数据一致性的场景。而 MyISAM 不支持事务，一旦写入错误无法回滚，更适合读多写少的业务。

外键约束方面，InnoDB 支持外键，可以定义表之间的约束，保证数据的完整性。MyISAM 不支持外键，所有的约束需要在应用层控制。

锁机制方面，InnoDB 支持行级锁和表锁，行锁可以大幅提高并发性能。MyISAM 只支持表锁，多个操作不能并发修改，容易造成阻塞。

全文索引方面，MyISAM 支持全文索引，适合文档类或搜索类应用。而 InnoDB 直到 MySQL 5.6 之后才开始支持全文索引。

适用建议：InnoDB 更适合高并发、大数据量、需要事务保障的场景，比如订单系统、交易系统。MyISAM 更适合读多写少、不涉及事务的查询系统，比如日志分析或CMS后台。

选择时需根据业务特性决定，不能单凭“速度快”或“支持事务”去判断哪个更好。

---

---

二、如何防止 SQL 注入

SQL 注入是应用程序中非常常见且危险的安全漏洞之一，攻击者可以通过构造恶意 SQL 语句，获取、篡改甚至删除数据库中的数据。避免这类问题的关键在于：不要直接拼接 SQL 语句，而是使用参数化方式传递变量。

以 Java 为例，使用 PreparedStatement 可以自动对输入进行转义，防止用户注入非法语句。正确的写法是：

String sql = "SELECT * FROM users WHERE username = ? AND password = ?";
PreparedStatement stmt = conn.prepareStatement(sql);
stmt.setString(1, username);
stmt.setString(2, password);
ResultSet rs = stmt.executeQuery();

而不是：

String sql = "SELECT * FROM users WHERE username = '" + username + "' AND password = '" + password + "'";

后者非常危险，一旦输入类似 admin' OR '1'='1，整个逻辑就会被绕过。

在使用 MyBatis 等框架时，正确方式是使用 #{} 进行参数绑定，如：

<select id="getUser" resultType="User">SELECT * FROM users WHERE username = #{username}
</select>

不要使用 ${}，因为它会将参数直接拼接进 SQL。

核心原则是：变量永远不要直接写进 SQL 字符串里。无论使用什么语言或框架，都应该寻找它们所提供的“安全插值”机制。这不仅能提升代码可读性，也能极大增强应用的安全性。

---

---

三、怎样实现幂等

幂等，是指一个操作无论执行多少次，结果都保持一致，不会产生副作用。在后端开发中非常常见，尤其是涉及支付、下单、接口请求等场景。如果没有幂等保护，重复提交可能导致数据重复写入、订单重复创建等严重问题。

常见的幂等实现方式有以下三种：

1. 唯一索引（主键约束）

通过数据库的主键或唯一索引约束，来保证数据只写入一次。比如订单号、请求流水号等字段设置为唯一，一旦第二次写入相同数据，数据库会直接抛出异常。适用于插入类操作。

CREATE UNIQUE INDEX idx_order_sn ON orders(order_sn);

只要每次提交的订单号唯一，系统就能准确拒绝重复订单。

2. 乐观锁（版本号）

在更新数据时引入 version 字段，每次更新时要求版本号匹配，如果版本不一致则拒绝操作。这种方式适合控制并发更新，确保每次修改都基于上一次的结果。

UPDATE product SET stock = stock - 1, version = version + 1 WHERE id = 1 AND version = 2;

3. Token机制 + Redis

客户端发起操作前，先从服务端获取一个唯一 token，执行操作时必须携带该 token，并通过 Redis 设置 token 的一次性消费规则。一旦被使用，就立即从 Redis 中删除，后续请求再带同样的 token 就会被拦截。

这种方式适合防止重复点击、重复提交等场景，特别是在高并发请求中非常有效。

---

---

四、一条 SQL 语句的执行流程

MySQL 执行一条 SQL 查询语句，背后其实是一个完整的流程，涉及多个组件协同工作。主要可以分为两层：Server 层 和 存储引擎层。

1. 建立连接

客户端连接 MySQL，连接器首先验证用户名和密码，并加载该用户的权限信息。连接成功后才能继续发送 SQL 请求。

2. 查询缓存（MySQL 8.0 已移除）

曾经 MySQL 会先查缓存，如果完全相同的语句执行过，就直接返回缓存结果，跳过后续步骤。但由于命中率低、维护成本高，MySQL 8.0 起已移除该功能。

3. 语法解析和语义分析

SQL 语句会先交给 解析器。这个阶段会检查 SQL 是否拼写正确、语法是否合法，确认涉及的表、字段是否存在。还会将 SQL 转换为内部的数据结构，便于后续处理。

4. 查询优化

经过语义分析的 SQL，会交给 优化器。优化器的任务是选择最佳的执行计划，比如判断用哪个索引、使用何种连接方式（如 nested loop、hash join）。最终目标是尽可能提高执行效率。

5. 权限检查

执行器在执行语句前，会再次验证当前用户是否有权限对相关表或字段进行操作。如果权限不足，直接返回错误。

6. 调用存储引擎执行

执行器将最终的执行计划交给对应的存储引擎（如 InnoDB）来完成具体的数据操作，并返回结果给客户端。

---