目录

• 
  

1 引言

在日常工作中，我们会遇见一些慢SQL，在分析这些慢SQL时，我们通常会看下SQL的执行计划，验证SQL执行过程中有没有走索引。通常我们会调整一些查询条件，增加必要的索引，SQL执行效率就会提升几个数量级。我们有没有思考过，为什么加了索引就会能提高SQL的查询效率，为什么有时候加了索引SQL执行反而会没有变化，本文就从MySQL索引的底层数据结构和算法来进行详细分析。

2 索引数据结构对比

索引的定义：索引(Index)是帮助MySQL高效获取数据的排好序的数据结构。

索引中常见的数据结构有以下几种：

• Hash表
• 二叉树
• 红黑树
• B-Tree
• B+Tree

Hash表
通过索引的key进行一次hash计算，就可以快速获取磁盘文件指针，对于指定索引查找文件非常快，但是对于范围查找没法支持，有时候也会出现Hash冲突的情况。

二叉树
二叉树的特点：左边子节点的数据小于父节点数据，右边子节点的数据大于父节点数据。如下图所示，如果col2是索引，查找索引为65的行元素，只需要查找两次，就可以获取到行元素所在的磁盘指针地址。

但如果是一个按照顺序递增的值，例如为col1建立索引，不再适合使用二叉树建立索引，因为此时使用二叉树建立索引将会变成一个链式索引，此时的索引结构如下图所示，如果查找6节点需要6次遍历才能找到。

红黑树
红黑树是一种二叉平衡树，可以提高查询效率，此时若再查找6节点只需要遍历3次就能找到了。但红黑树也有缺点，当存储大数据量时，树的高度就会变的不可控， 数量越大，树的高度越高，查询的效率将会大大降低。

B-Tree
B-Tree是一种多路二叉树，所具有的特点：1 叶节点具有相同的深度，叶节点的指针为空；2 所有索引元素不重复；3 节点中的数据索引从左到右递增排列。

B+Tree
B+Tree是B-Tree的变种，所具有的特点：1 非叶子节点不存储data，只存储索引(冗余)，可以放更多的索引；2 叶子节点包含所有索引字段；3 叶子节点用指针连接，提高区间访问的性能。

与红黑树相比，B-Tree和B+Tree两种数据结构都更加矮胖，存储相同数量级的索引数据时，层级更低。

B-Tree和B+Tree之间一个很大的不同，是B+Tree的节点上不储存value，只储存key，而叶子节点上储存了所有key-value集合，并且节点之间都是有序的。这样的好处是每一次磁盘IO能够读取的节点更多，也就是树的度(Max.Degree)可以设置的更大一些，因为每次磁盘IO读取的磁盘页数是一定的。例如，每次磁盘IO能够读取1页=4kb，那么省去value的情况下同样一页数据能够读取更多的key，这样就大大减少了磁盘的IO次数。

此外，B+Tree也是排好序的数据结构，数据库中><或者order by等都可以直接依赖这一特性。

MySQL中对于索引使用的主要数据结构也是B+Tree，目的也是在读取数据时能够减少磁盘IO。

3 千万级数据如何用B+树索引快速查找

MySQL 官方对非叶子节点(如最上层 h = 1的节点，B+Tree高度为3) 的大小是有限制的，最大的大小是16K，可以通过以下SQL语句查询到，当然这个值是可以调的，既然官方给出这个阈值说明再大的话会影响磁盘IO效率。

从执行结果，可以看到大小为 16384，即 16K大小。

假如：B+Tree的表都存满了。主键索引的类型为BigInt，大小为8B，指针存储了下个节点的文件地址，大小为6B。最后一层，假如 存放的数据data为1K 大小，那么

1. 第一层最大节点数为： 16k / (8B + 6B) ≈ 1170 (个)；
2. 第二层最大节点数也应为：1170个；
3. 第三层最大节点数为：16K / 1K = 16 (个)。

则，一张B+Tree的表最多存放 1170_1170_16 ≈ 2千万。

所以，通过分析，我们可以得出，B+Tree结构的表可以容纳千万数据量的查询。而且一般来说，MySQL会把 B+Tree 根节点放在内存中，那只需要两次磁盘IO就行。

4 存储引擎索引实现

MySQL中索引储存在哪里呢？和数据一样，索引以文件形式储存在硬盘上。
在MyISAM储存引擎中，数据和索引文件试试分开储存的，数据存在.MYD结尾的文件中，索引单独存在.MYI结尾的文件中。

在InnoDB中，数据和索引文件是合起来储存的，注意下图中没有了.MYI结尾的文件，只有一个.ibd结尾的文件。

MyISAM索引文件和数据文件是分离的(非聚集)，并且主键索引和辅助索引（二级索引）的储存方式是一样的。

InnoDB中索引文件和数据文件是同一个文件（聚集），并且主键索引和二级索引储存方式有所不同，如图所示，二级索引的叶子节点不储存数据，仅储存主键ID。

这里思考几个问题：

• 为什么建议InnoDB表必须建主键，并且推荐使用整型的自增主键？
• 为什么非主键索引结构叶子节点存储的是主键值？

如果我们在创建表时不设置主键，InnoDB会自动帮我们从第一列开始筛选一列数据不重复的列做为主键，如果找不到这样的列，就会创建一个隐藏的列（rowid）做为主键，这会增加很多MySQL的工作，所以建议我们在创建InnoDB表时一定要设置主键。

整型的字段做为主键，一方面在数据比较时不需要进行转换，另一方面存储也比较节省空间。那为什么要强调主键自增呢？如果主键id是无序的，那么很有可能新插入的值会导致当前节点分裂，此时MySQL不得不为了将新记录插到合适位置而移动数据，甚至目标页面可能已经被回写到磁盘上而从缓存中清掉，此时又要从磁盘上读回来，这增加了很多开销，同时频繁的移动、分页操作造成了大量的碎片，得到了不够紧凑的索引结构，后续不得不通过OPTIMIZE TABLE来重建表并优化填充页面。反之，如果每次插入有序，那就会在当前页后面连续写入，写不下就会重新分配一个节点，内存都是连续的，这样效率自然也就最高了。

非主键索引的叶子节点存储主键值而非全部数据，主要也是为了一致性和节省空间。如果二级索引储存的也是数据，那么每次插入MySQL都不得不更新每棵索引树，这样就加剧了新增编辑时的性能损耗，并且这样一来空间利用率也不高，必然产生了大量冗余数据。

5 联合索引底层数据结构又是怎样的

联合索引又叫复合索引，例如下表：

CREATE TABLE `test` (
`id` bigint NOT NULL AUTO_INCREMENT,
`name` varchar(24) NOT NULL,
`age` int NOT NULL,
`position` varchar(32) NOT NULL,
`address` varchar(128) NOT NULL,
`birthday` date NOT NULL,
PRIMARY KEY (`id`),
UNIQUE KEY `idx_name_age_position` (`name`,`age`,`position`) USING BTREE
) ENGINE=InnoDB AUTO_INCREMENT=1 DEFAULT CHARSET=utf8;

如下索引就是一个联合索引。

`idx_name_age_position` (`name`,`age`,`position`) USING BTREE

联合索引底层数据结构长什么样？

比较相等时，先比较第一列的值，如果相等，再继续比较第二列，以此类推。

了解了联合索引的存储结构，我们就知道了索引最左前缀优化原则是怎么回事了，在使用联合索引时，对于索引列的定义顺序将会影响到最终查询时索引的使用情况。例如联合索引（name,age,position），MySQL会从最左边的列优先匹配，如果最左边的带头大哥name没有使用到，在未使用覆盖索引的情况下，就只能全表扫描。

联合底层数据结构思考：MySQL会优先以联合索引第一列匹配，此后才会匹配下一列，如果不指定第一列匹配的值，也就无法得知下一步查询哪个节点。

6 总结

索引本质上是一种排好序的数据结构，了解了MySQL索引的底层数据结构及存储原理，可以帮助我们更好地进行SQL优化。其实数据库索引调优是一项技术活，不能仅仅靠理论，因为实际情况千变万化，而且MySQL本身存在很复杂的机制，如查询优化策略和各种引擎的实现差异等都会使情况变得更加复杂。但同时这些理论是索引调优的基础，只有在明白理论的基础上，才能对调优策略进行合理推断并了解其背后的机制，然后结合实践中不断的实验和摸索，从而真正达到高效使用MySQL索引的目的。

最后，如果大家想再温习一下数据结构的知识，这个数据结构网站（
https://www.cs.usfca.edu/~galles/visualization/Algorithms.html
）不可错过，可以很好地帮助我们演示数据结构的存储过程。

作者：京东物流 于朔

这篇文章翻译自
MySQL官方文档
，
介绍了8.0在预写式日志上实现上的修改，我把核心
观点总结如下：

在8.0以前，为了保证flush list的顺序，redo log buffer写入过程需要加锁，无法实现并行，高并发的环境中，会同时有非常多的min-transaction(mtr)需要拷贝数据到Log Buffer，如果通过锁互斥，那么毫无疑问这里将成为明显的性能瓶颈。

为此，从MySQL 8.0开始，设计了一套无锁的写log机制，其核心思路是引入recent_written，允许不同的mtr，同时并发地写Log Buffer的不同位置。

1、写入RedoLog存在性能瓶颈

预写日志 (WAL) 是数据库最重要的组件之一，对数据文件的所有更改都记录在 WAL 中（在 InnoDB 中称为Redo日志），并且推迟将修改的页面刷新（Flushed）到磁盘的时间，同时仍然防止数据丢失。

在写入Redo日志时，数据密集型写入服务的性能受到线程同步的限制会明显下降。在具有多个 CPU 内核和快速存储设备（例如现代 SSD 磁盘）的服务器上测试性能时，这一点尤为明显。

我们需要一种新的设计来解决我们的客户和用户现在和将来面临的问题。通过新设计，我们希望确保它可以与现有 API 一起使用，最重要的是不会破坏 InnoDB 其余部分所依赖的契约，在这些限制条件下，这是一项具有挑战性的任务。

重做日志可以看作是一个生产者/消费者持久化队列。执行更新的用户线程可以看作是生产者，当 InnoDB 必须进行崩溃恢复时，恢复线程就是消费者。  InnoDB服务在预期内正常工作时不需要读取Redo log。

2、多线程写Redo日志的顺序问题

实现具有多个生产者的写日志可扩展模型只是问题的一部分。还有一些 InnoDB 特定的细节也需要起作用。最大的挑战是保持buffer pool中flush list上的脏页要满足按照LSN递增排布。

首先, 一个buffer pool实例维护一个flush list, 由mtr(mini transaction)负责原子的应用对物理页的修改, 因此, mtr是InnoDB对物理文件操作的最小事务单元。 redo log由mtr产生, 通常先写在mtr的cache里, 在mtr提交时, 将cache中的redo log刷入log buffer(公共buffer), 同时递增全局维护的日志编号(LSN, Log Sequence Number)。

随后Mtr负责将修改的脏页(或一列表脏页)加入到flush list上, 且满足flush list上的脏页是按照LSN递增排序的。

在8.0之前的实现中, 我们通过加内部锁log_sys_t::mutex 和 log_sys_t::flush_order_mutex 来保证flush list上页按照写log buffer 拿到的LSN有序。

因此, 8.0前的工作方式如下: 某个mtr将脏页输入flush list时, 会持有锁flush_order_mutex, 这时, 即便另外一个线程A需要添加脏页到其他bp(buffer pool)的flush list, 也必须陷入等待。 这种情况下, 这个线A程通过持有log_sys_t::mutex, 阻塞其他线程写log buffer。 单纯移除这两个锁结构, 会使得flush list中LSN递增的约束不工作

3、解决log buffer上的LSN可能不连续

我们还面临的第二个问题是, 由于各个事务可以交叉拷贝redolog 到 log buffer中, log buffer上的LSN可能存在空洞(如下图所示), 所以log buffer是不可以一口气flush full log buffer。

我们通过跟踪已经完成的写log buffer操作(如下图所示的)来解决第二个问题。

在设计上我们引入一个新的无锁数据结构(元素排列与原先log buffer对应关系如下图)。

数据结构如下图所示。 首先这是一个定长数组, 并且保证数组元素(slot)更新是原子的, 以环形形式复用已经释放的空间(所以是个环形数组啊哈)。 并启用单独的线程负责数组的遍历和空间回收, 线程在遇到空元素(empty slot)时暂停。 因此这个thread中还维护了这个数据结构中的最大可达LSN, 我们假设值为M。

我们引入了这个数据结构的两个变量: recent_written 和 recent_closed。 recent_written 维护写log buffer的完成状态, recent_written中维护的最大LSN, M表示, 所有小于这个M的LSN都已经将它的redo log写入log buffer。 而这个M也是(如果这下crash, 可能会触发的)崩溃恢复的截止位点, 同时也是下一个写log buffer操作的开始位点。

刷log buffer到磁盘和遍历recent_written是交由一个线程完成, 因此对log buffer的内存读写操作通过recent_written上顺序访问元素(slots)形成的屏障保证。

假设当前log buffer和recent_written状态如上图所示, 然后完成了一次buffer log 写, 使得log buffer状态如下图所示。

log buffer状态更新触发特定线程(log_writter)向后扫描recent_written, (如下图)

然后更新它维护的最大可达LSN值(可以保证无空洞的), 写入到变量buf_ready_for_write_lsn (这个变量顾名思义 XD)

我们还引入另一个无锁结构体的变量recent_closed, 用来完成原先log_sys_t::flush_order_mutex锁所作的工作, 用来维护flush list的LSN递增性质。 在介绍实现细节前, 我们还需要解释一些细节来, 才能清晰的阐释图和使用无锁结构维护(flush list/bp)整体的LSN单调。

4、使用CheckPoint保证flush list正确

那么首先, 每个bp中的flush list有专门的内部锁保护。 但是我们已经移除了了锁结构log_sys_t::flush_order_mutex, 这就使得并发写flush list的LSN递增性质保证不了。

虽然如此, flush list正确工作仍然必须满足以下两个原生约束:

1. Checkpoint - 对于检查点推进的约束: 假设存在脏页P1, LSN = L1, 脏页P2, LSN = L2, 如果L2 > L1, 且P1脏页未落盘, 不允许刷新L2对应的脏页到磁盘。
2. FLushing - flush list 上刷脏策略约束: 每次flush必须从oldest page(即, page对应的LSN最小)开始。 这个操作保证最早被修改的也最先从flush list更新到磁盘, 同时还向后推进checkpoint_lsn。

新引入的无锁结构recent_closed, 用来跟踪并发写flush list的状态, 同时也维护一个最大LSN, 我们标记为M, 满足, 小于当前LSN的脏页都已经加入到flush list中。

只有在M值与当前线程不那么远的时候, 才能将它的脏页刷flush list。 在线程将脏页写入flush list后, 更新recent_closed中的状态信息。

HTTP最早被用来做浏览器与服务器之间交互HTML和表单的通讯协议；后来又被被广泛的扩充到接口格式的定义上。所以在讨论GET和POST区别的时候，需要现确定下到底是浏览器使用的GET/POST还是用HTTP作为接口传输协议的场景。

浏览器的GET和POST

这里特指浏览器中非Ajax的HTTP请求，即从HTML和浏览器诞生就一直使用的HTTP协议中的GET/POST。浏览器用GET请求来获取一个html页面/图片/css/js等资源；用POST来提交一个<form>表单，并得到一个结果的网页。

浏览器将GET和POST定义为：

<METHOD> <URL> HTTP/1.1\r\n<Header1>: <HeaderValue1>\r\n<Header2>: <HeaderValue2>\r\n

...<HeaderN>: <HeaderValueN>\r\n

\r\n<Body Data....>

GET http://foo.com/books          获取书籍列表
GET http://foo.com/books/:bookId  根据bookId获取一本具体的书

POST http://foo.com/user/login
{"username": "admin","passowrd": "12345678"}

POST xxxxxx HTTP/1.1
...
Content-Type: application/x-www-form-urlencoded ; charset=UTF-8

POST http://foo.com/books
{"title": "wow","author": "admin",

  ...

}

createBook("wow", "admin");

作者：京东零售  张梦雨

云技术和我们的生活息息相关，日常生活中访问的网页，刷的短视频，用的云盘等都是云计算提供的服务。那在云计算时代，前端可以做什么呢？

一、云技术与前端

在前端发展初期，前端只需完成静态页面和交互的开发即可，然后将源文件给后端部署；之后前后端分离，有了工程化的概念，前端需要自己去完成构建、打包、集成、部署，部署方式有通过CI/CD工具进行命令工具部署、Docker镜像部署、平台化部署等。随着nodejs、跨端技术的快速发展，进入大前端时代，前端工程师也可以做全栈开发，需要了解学习的端和技术越来越多。

前后端分离后，各种前端框架层出不穷，百花齐放，随着三大框架的盛行以及前端工程化的成熟，各端分工更加明确，此时，云计算在前端领域起到了很重要的作用，主要是可以在云里拿一些资源来支撑业务开发，比如各种工程化工具、开源库等，实现代码的共享，提高了开发效率。

二、前端开源库

相信作为前端大家都使用过Vue、React等耳熟能详的JavaScript框架，使用vue-cli、create-react-app等脚手架工具能快速的生成一个可独立运行的Vue、React项目。因为它是可以独立运行的，所以需要依赖NodeJS，NodeJS是一个基于Chrome V8引擎的JavaScript运行环境，它可以使JavaScript运行在服务端。说到NodeJS，不得不提NPM。

NPM，全称Node Package Manager，是一个NodeJS包管理和分发工具，即包管理器，管理第三方依赖。它以多种方式自动处理项目依赖关系，提供了命令行工具，可以安装、卸载、更新三方包，配置项目设置，运行脚本等等。目前主流的包管理工具有npm、yarn、pnpm等。npm是 2010 年发布的nodejs依赖管理工具，yarn是 Facebook 于 2016 年 发布的替代npm的包管理工具，pnpm是 2017 年发布的一款替代npm包管理工具，具有速度快、节省磁盘空间的特点。

NPM是JavaScript运行时环境Node.js的默认包管理器。采用npm命令下载三方包，下载的包会在node_modules文件夹中，可进行按需引入，实现了代码共享。目前Github提供了很多开源NPM包，虽然用起来很方便，但是怎么保证包的安全性是一个一直在探讨的问题。

前段时间，npm开源库作者以反战为名，在node-ipc库中添加恶意代码，代码先是针对俄罗斯和白俄罗斯用户IP，尝试覆盖当前目录、父目录和根目录的所有文件，后改成了往桌面上写个
WITH-LOVE-FROM-AMERICA.txt 的宣言文件。这个事件受到了开源圈强烈的谴责，造成了很不好的影响。该供应链投毒事件同时也暴漏了JS/node/npm生态的脆弱。该事件也对我们起了警示作用，怎么避免开源库的安全隐患显得尤为重要。

三、开源库使用安全指南

1. 避免下载未知或不可信的包

在进行开源库的选型时，需要检查开源许可证，关注stars、 forks、 commit frequency、contributors 等相关指标，查看包的安全策略。

2. npm ci 代替 npm install

npm ci和npm install的区别主要在于执行npm ci命令时，项目必须要有package-lock.json文件，如果package-lock.json中的依赖与package.json中的依赖不匹配时，则将退出并显示错误，该命令不会更改

package-lock.json和package.json。因此，当我们进行CI（持续集成）/CD（持续部署）或生产发布时，尽量使用npm ci，它会严格按照package-lock.json文件中指定的包版本进行安装，防止由于版本问题产生问题。

3. 安装和使用npm包时，忽略运行脚本，最小化攻击面

当使用的包有新版本更新时，不要盲目升级，在升级之前查看下版本的更改日志、发行说明和代码，关注其他人的使用体验。在安装软件包时，确保添加–ignore-scripts 后缀以禁止第三方软件包执行任何脚本。考虑将 ignore-scripts 添加到.npmrc 项目文件或全局 npm 配置中。

4. 及时升级过时的依赖项

盲目升级包版本不可取，但是当包版本过时不去升级也会带来一系列问题。npm outdated命令可以查看哪些包已经过期了。其中黄色的依赖包对应package.json中指定的版本，红色的依赖包表示有可用的更新。

5. 使用安全工具来扫描npm包

大家拿到项目之后执行npm install，之后将项目运行起来，几乎没人关注安装了什么。安全问题不容忽视，接下来介绍的几个扫描工具能快速帮你识别项目中的依赖有哪些漏洞。比较常用的扫描工具有npm audit、yarn audit、snyk等。

（1）npm audit

是npm的官方检查工具，npm6 新增的一个命令，漏洞数据来自于GitHub Advisory Database，npm audit 对第三方包的扫描依赖于 package.json 和 package-lock.json 文件，如果没有这两个文件会报错。

注意：京东源不支持，需要切换其他源

nrm ls
nrm use npm 切换源

npm audit 生成安全报告
High/Low/Moderate/Critical：安全漏洞等级
Package：存在漏洞的包名称
Dependency of: 当前工程直接依赖的包名称
Path: 漏洞完整依赖路径
More info: 漏洞详情

npm audit fix 安全漏洞修复
自动修复风险库，原理是升级依赖库，将库升级到已修复了该风险的版本号

npm audit fix --force 强制修复漏洞
对于非兼容性的依赖包升级需要执行该命令，谨慎操作，可能会导致项目不能运行。

npm audit --json 打印出一个详细的json格式的安全报告，里面有漏洞的详情和修复策略
actions：包含所有漏洞的修复策略
"update"更新版本号 
"install"修复直接依赖 
"install major"强制升级依赖，跨越主版本 
"review"不可自动修复，需要人工review

advisories： 包含所有漏洞的详情
"cves"：CVE漏洞编号
"severity"：漏洞等级
"vulnerable_versions"：受影响的版本
"patched_versions"：已修复的版本

（2）yarn audit

yarn audit无法自动修复，需要执行yarn upgrade手动更新版本号

（3）synk

Snyk 是一家美国的网络安全公司，它维护自己的开源漏洞数据库，包含多语言，多个包管理工具的漏洞。

Snyk cli是一个开发者优先的，自动发现依赖包的安全漏洞的工具，帮助开发者们在开发阶段就能查找、修复和监测代码的脆弱性。

安装： npm install -g snyk
授权： snyk auth

扫描：snyk test 

6. 及时披露发现的漏洞

如果找到任何漏洞或安全问题，及时报告给npm社区并更新相关的npm包。

四、自建代码库使用安全指南

1. 不要把敏感信息提交到NPM库中

npm包发布时会根据.gitignore 、.npmignore、package.json文件中的"file"属性决定要忽略掉那些文件和要包括哪些文件。.gitignore和.npmignore文件两者之间并不是叠加关系，而是替代关系。.npmignore文件的优先级更高，会替掉.gitignore文件的作用，建议使用.gitignore。提交时切记将敏感信息登记在.gitignore中。最优的方案是使用package.json文件中的"file"属性来控制要包含的文件，虽然比较麻烦，但是是最安全的做法。

2. 重要数据进行加密传输

五、常见的漏洞数据库

1. CVE

CVE是通用漏洞披露(Common Vulnerabilities and Exposures) 的简称，是一个记录常见漏洞的资料库。CVE对每一个漏洞都会有一个专属的编号，格式为CVE-YYYY-NNNNN。YYYY为漏洞披露年份，NNNNN为流水编号。

2. CNNVD

CNNVD是中国国家信息安全漏洞库，于2009年10月18日正式成立。

3. NVD

NVD是美国国家漏洞数据库，创建于2000年。

以上为云计算时代，前端如何保证开源代码安全性的一些个人见解和看法，欢迎大家一起交流学习~