1、SELECT子句中避免使用 *， 尽量应该根据业务需求按字段进行查询
2、尽量多使用COMMIT如对大数据量的分段批量提交释放了资源，减轻了服务器压力
3、在写sql语句的话，尽量保持每次查询的sql语句字段用大写，因为oracle总是先解析 sql语句，把小写的字母转换成大写的再执行
4、用UNION-ALL 替换UNION，因为UNION-ALL不会过滤重复数据，所执行效率 要快于UNION,并且UNION可以自动排序，而UNION-ALL不会
5、避免在索引列上使用计算和函数,这样索引就不能使用
Sql优化精简版：
1.(重点)(必须说) SELECT语句中避免使用 ，
尽量应该根据业务需求按字段进行查询
举例：如果表中有个字段用的是clob或者是blob这种大数据字段的话，
他们的查询应该根据业务需要来进行指定字段的查询，切记勿直接用
2.(重点) 删除重复记录(oracle)：
最高效的删除重复记录方法 ( 因为使用了ROWID)例子：
DELETE FROM EMP E WHERE E.ROWID > (SELECT MIN(X.ROWID)
FROM EMP X WHERE X.EMP_NO = E.EMP_NO);
3. 用>=替换>
如一个表有100万记录，一个数值型字段A，
A=0时，有30万条；
A=1时，有30万条；
A=2时，有39万条；
A=3时，有1万记录。
那么执行 A>2 与 A>=3 的效果就有很大的区别了，因为 A>2 时，
ORACLE会先找出为2的记录索引再进行比较，
而A>=3时ORACLE则直接找到=3的记录索引。
4.(重点)尽量多使用COMMIT
如对大数据量的分段批量提交
5. (重点)用NOT EXISTS 或（外连接+判断为空）方案 替换 NOT IN操作符
此操作是强列推荐不使用的，因为它不能应用表的索引。
推荐方案：用NOT EXISTS 或（外连接+判断为空）方案代替
6.(重点 必须说)LIKE操作符(大数据的全文检索使用luncene)(solr)
因为使用like不当，会导致性能问题，原因是like在左右两边都有
%的时候，不会使用索引。
如LIKE ‘%5400%’ 这种查询不会引用索引，
而LIKE ‘X5400%’ 则会引用范围索引。
一个实际例子：
查询营业编号 YY_BH LIKE ‘%5400%’ 这个条件会产生全表扫描，
如果改成 YY_BH LIKE ‘X5400%’ OR YY_BH LIKE ‘B5400%’
则会利用 YY_BH 的索引进行两个范围的查询，性能肯定大大提高。
7.(重点,必须说)避免在索引列上使用计算和函数,这样索引就不能使用
举例:
低效：
SELECT … FROM DEPT WHERE SAL * 12 > 25000;
高效:
SELECT … FROM DEPT WHERE SAL > 25000/12;
8.(重点 必须说)用UNION-ALL 替换UNION，
因为UNION-ALL不会过滤重复数据而且不会自动排序，
所执行效率要快于UNION。
9. （优化,重点,3个方面 a.缓存 b.分段批量 c.存储过程）减少访问数据库的次数
举例:如果批量删除多条数据，可以用 delete from tableName where id in (1,2,3)
而不要用多条delete语句进行删除
10.（重点 必须说）用TRUNCATE替代DELETE
TRUNCATE不记录日志，DELETE记录日志，所以TRUNCATE要快于DELETE但是一旦用TRUNCATE进行删除就不能进行恢复,TRUNCATE是删除整张表的数据不能加where条件。
mysql,sqlserver中如果id为自增类型，那么如果用TRUNCATE删除，则id字段再插入数据时从1开始，如果delete删除的话，则从删除之前的id的值继续增长。
四、防sql注入
针对防sql注入，我们通常是这样做的：
首先在前台页面对用户输入信息进行js验证，对一些特殊字符进行屏蔽，比如：or ,单引号，–，= ，还有就是限制用户名输入的长度，我们一般将其限制在6—13位。另外，对于用户的敏感信息我们进行Md5加密，还有，为了增加用户体验度和用户友好度，为了不使用户看到一些详细的异常信息我们会进行错误信息页面的定制，像404,500错误。另一个我层面讲，这样做也是为了保护我们的一些重要信息。此外，我们会给特定的人分配定定的权限，而不是给其分配管理员权限！
sql注入
所谓SQL注入，就是通过一些含有特殊字符的sql语句发送到服务器欺骗服务器并进行攻击。（特殊字符：or, 单引号，–，空格）
Sql注入的防护
1.永远不要信任用户的输入。对用户的输入进行校验，可以通过正则表达式（js正则或者java后台正则），或限制长度；对单引号和双"-"进行转换等。
2.永远不要使用动态拼装sql，使用参数化的sql。（永远不要使用+号拼接sql字符串，而是使用？传参的方式进行）
3.不要给用户太高的权限而根据需求进行赋权
4.对敏感信息进行加密 如md5(单向加密不可逆转)。
5.自定义错误页面。目的是为了不把我们的程序的bug暴露在别有用心的人的面前。而去不会让用户看到报错的页面，也提高了用户的体验度。
SQL注入防范
使用参数化的过滤性语句
  要防御SQL注入，用户的输入就绝对不能直接被嵌入到SQL语句中。恰恰相反，用户的输入必须进行过滤，或者使用参数化的语句。参数化的语句使用参数而不是将用户输入嵌入到语句中。在多数情况中，SQL语句就得以修正。然后，用户输入就被限于一个参数。

数据库中常用术语：
ddl:数据定义语言 Create Drop Alter
dml:数据操纵语言 insert update delete select
dcl:数据控制语言 grant revoke
tcl:事务控制语言 commit rollback
————————————————
版权声明：本文为CSDN博主「z1427094386」的原创文章，遵循CC 4.0 BY-SA版权协议，转载请附上原文出处链接及本声明。
原文链接：https://blog.csdn.net/z1427094386/article/details/117919670