由 dawei PHP应用中的搜索功能若存在漏洞或索引设计不当,不仅影响用户体验,还可能引发安全风险。常见问题包括SQL注入漏洞、全表扫描导致的性能下降,以及索引失效引发的查询延迟。本文将结合实战案例,讲解如何修复搜索漏洞并构建高效索引,提升系统安全性与响应速度。
修复SQL注入漏洞是搜索优化的首要任务。许多开发者直接拼接用户输入到SQL语句中,例如:`$query = \”SELECT FROM products WHERE name LIKE ‘%\”.$_GET[‘keyword’].\”%’\”;`。攻击者可输入`’ OR ‘1’=’1`构造恶意查询,获取全部数据。正确做法是使用预处理语句:`$stmt = $pdo->prepare(\”SELECT FROM products WHERE name LIKE ?\”); $stmt->execute([\”%\”.$_GET[‘keyword’].\”%\”]);`。PDO或MySQLi的预处理机制能有效隔离用户输入与SQL逻辑,从根源杜绝注入风险。
索引优化需结合业务场景设计。假设用户常按价格区间搜索商品,但价格字段`price`未建索引,数据库会全表扫描。通过`ALTER TABLE products ADD INDEX idx_price(price);`添加索引后,查询效率显著提升。复合索引的顺序至关重要,例如`ALTER TABLE orders ADD INDEX idx_user_status(user_id, status);`可优化同时按用户ID和订单状态筛选的场景。需注意,索引虽加速查询,但会降低写入速度,高频更新字段需谨慎建索引。
索引失效是性能下降的常见原因。使用函数或运算会导致索引失效,如`WHERE YEAR(create_time) = 2023`无法利用`create_time`的索引。应改为范围查询:`WHERE create_time >= ‘2023-01-01’ AND create_time < '2024-01-01'`。模糊查询以通配符开头(如`LIKE '%手机%'`)同样失效,可考虑全文索引或第三方搜索引擎如Elasticsearch。•`OR`条件可能使索引失效,建议拆分为多个查询或使用`UNION ALL`合并结果。
AI做图,仅供参考
实战中可结合EXPLAIN分析查询计划。执行`EXPLAIN SELECT FROM products WHERE name LIKE ‘%测试%’;`,若`type`显示`ALL`,则表示全表扫描。通过添加合适的索引并优化查询语句,可将`type`优化为`range`或`ref`。定期使用`SHOW INDEX FROM products;`检查索引使用情况,删除冗余索引(如单列索引与复合索引重复)可节省存储空间并提升写入速度。