易栈网-膘叔

本文来自PHP5研究室，里面用【】包含的内容是我的个人见解，并非一定就是正确，如果有不同意见，或者忽略，或者请给我点建议。

原文地址是http://www.phpv.net/html/1710.html

在我们公司ChinaNetCloud，见 过多种不同类型的网站和系统，有好也有差。其中有些系统拥有良好的服务器/网络架构，并且进行了合理的调整和监控 ；然而一般的系统都会有安全和性能上的问题，不能良好运行，也无法变得更流行。

在中国，开源的LAMP栈是最流行的网络架构，它使用PHP开发，运行在Apache服务器上，以MySQL作为数据库，所有这些都运行在Linux上。它是个可靠的平台，运行良好，是现在全球最流行的Internet系统架构。然而，我们很难对其规模进行正确的扩展并保持安全性，因为每个应用层都有其自身的问题、缺陷和最佳实践。我们的工作就是帮助企业用最低的操作成本来创建并运行高性能的、可伸缩的、安全的系统，因此对于这类问题我们有很丰富的经验。

当前的实际情况是，很多网站都是由开发人员快速而廉价地创建【说实话还真没有办法，上面催下面逼，还能怎么做？】，通常没有任何IT人员或者经理，只是由程序员来管理系统。造成的结果是，虽然花费很低的成本网站就可以开始运行，但是当拥有大量用户、需要扩展规模的时候，通常就会面临真正的问题。毕竟，中国拥有三亿八千万的Internet用户，如果其中的0.01%访问这个站点，就很容易引发25 万~50万的页面访问量。这些问题在各个级别上都会产生，下面总结的规则是对最一般的问题进行概述，并且说明为什么这些规则如此重要，以及最好采用什么方法来修正它们。遵循这些建议的站点会提高它的可伸缩性、安全性以及操作上的稳定性。

1、使用合适的会话管理
第一个想到的扩展系统的方法就是添加更多硬件。例如，使用两台服务器而不是一台。这听着合理，但会产生潜在问题：会话管理。这对Java程序来说是很严重的问题，在PHP中也会产生可延展性问题， 对于数据库的负载尤其如此。

会话被定义为单独的最终用户登录或者连接一段时间，其中通常会包含多个TCP/IP的HTTP连接、几个Web页面，通常还包括几十个甚至上百个页面元素，如框架、菜单、Ajax更新等。所有这些 HTTP请求都需要知道用户是谁，才能满足安全的要求，并向用户传送适当的内容，因为这些都是会话的组成部分。通常每个会话都会包括相互关联的会话数据，如用户名、用户ID、历史、购物车、统计资料等等信息。

问题在于，在有两台Web服务器和多个HTTP连接的情况下，用户流量会在两台服务器之间分配和移动，服务器很难知道用户是谁，并对所有数据进行跟踪，因为每个页面或者页面的组成部分都可能来自不同的服务器。在PHP中，通常是这样解决的，在第一次连接或登录的时候就创建一个会话ID并将其放在Cookie中，然后这个Cookie会和每个 HTTP请求一起发送。

这样做带来一个问题，接下来每段PHP脚本都需要基于ID来查找会话数据。由于PHP无法在执行过程之间保持状态（这与Java不同），这个会话数据需要存储在某个地方，通常是在数据库中。但是，如果复杂的页面需要在每个页面载入过程中对其进行十次查找（这是经常要做的），那就意味着每个页面都要执行10次SQL查询，这会导致数据库上很大的负载。

在前面所举的中国 Internet用户 0.01%的例子中，可能很容易在每秒内仅仅为了管理会话就生成上百个查询。解决方法是一直使用位于Cookie中的会话ID，并且使用像 Memcached之类的服务来缓存会话数据以获得高性能。

还要注意其中存在安全性的问题，因为黑客可以伪造另一个用户的会话ID，这是很容易找到或看到的，特别是在公用的Wi-Fi中。解决方法是对会话ID进行恰当的加密或者签名，并将其与时间区间、 IP地址以及其他关键信息 像浏览器或者其他细节相绑定。在Internet上有很多不错的关于良好的会话管理的例子，你可以根据需要找到最适合的。

2、总是要考虑安全性
尽管编写像防止SQL注入和登录安全之类的代码涉及很多安全问题，但不幸的是，几乎没有人考虑过安全性，而那些考虑到的人也没有对其进行很好地理解。而本文要关注的是操作性的系统安全。对于这类安全，我们的焦点集中在三个安全领域：防火墙、运行的用户以及文件访问权限。

除了配置专门的硬件防火墙（像Cisco的ASA）之外，所有服务器都还应该运行像Iptables之类的防火墙，它会保护服务器免受其他威胁和攻击。这些威胁和攻击可能来自公共的 Internet、其他服务器或本地服务器，也包括使用VPN或者SSH通道的开发和操作人员。我们仅对指定的IP开放确实需要的端口。Iptables 可能会很复杂，但是有很多不错的模板，我们通常可以使用它们来帮助客户创建Iptables。例如，默认的RedHat或者CentOS防火墙的配置说明只有10行，显然并不实用。我们最佳实践的Iptables配置大概有5页，这其中包含了Linux所能提供的最高级的安全防范。

所有公用的服务，都应该运行在专门的用户下，如Apache。切记永远都不要使用Root用户运行，因为这会让任何闯入到Apache的用户接管整个服务器。如果Apache只是运行在 Apache用户下或者运行在Nobody下，那么闯入Apache就不是一件容易的事情了。

Web服务器运行或者服务的文件（像.php和.html文件）对于Web服务器的用户应该是不可写的。这意味着Apache或者Nginx用户不应该拥有Web目录的写权限。有很多方法都可以做到这一点，而最简单的就是将这些文件为其他用户所有，然后让Apache/Nginx等用户归属于能够使用640权限读取文件的组中。这会防范几乎所有的黑客和针对页面的攻击。

此外，永远不要使用Ftp来上传文件，特别是在公用的Wi-Fi环境中，因为在其中黑客很容易盗取用户名和密码。取而代之的是使用Sftp会更加安全。另外，每个雇员都应该拥有自己的用户ID和随机密码。【其实并非是所谓的SFTP安全，我倒是认为，多开通一个功能，相应的就会多一个漏洞】

3、使用标准的路径和安装配置

一个令人讨厌的部署问题是，开发者很少考虑他们的软件会被部署到生产Web服务器的什么位置，以及如何部署。我们看到过许多大型的系统将它们的PHP代码部署在/home/xiaofeng或者 /web/code路径下。事实上，这两个路径都是非常不标准的，并且会带来操作和安全性的问题。当这些系统从开发环境转移到测试环境再到生产环境中时，因为每个安装配置都是非标准的，所以经常会出现问题，这时就需要开发者调整才能够正常工作。

你应该总是使用标准的安装包和二进制文件来 安装像Apache之类的服务器。不要从源代码编译或者安装Tarball，因为这会导致长期稳定性和管理上的问题，另外在服务器上安装多个不同的版本也 会造成混淆。

Web站点应该总是在指定的平台和 Linux发布的标准路径下进行测试和部署，像RedHat 或者CentOS下的/var/www/html路径。这有助于对系统进行有效的权限管理、备份、配置、监控以及其他操作。

Web 服务器的日志应该存放在/var/logs或者/var/logs/app_name下，而不应该位于主代码区域。这样做的原因不仅仅是因为这些标准的路径很重要，更应该关注的是，恰当地配置服务器会将/var配置为分离的文件系统。如果应用程序突然写入了大量日志并占用所有磁盘空间，由于我们做了以上的配置就不会导致系统崩溃，或者其他严重的问题。如果日志位于其他位置，就可能会产生问题。【分区真的很重要，不管是因为网站还是因为日志，单独的分区真的很有用，哪怕是重装系统还不会影响这个分区】

4、总是使用日志

在Web系统中做多少日志都不为过。所有系统都应该将重要的数据写入到日志中，不管是它们自己的日志还是系统的Syslog。Cron的Job以及其他Shell脚本或者C语言的程序，对日志都有相应标准以及简单的函数。在Shell脚本中，只需要使用 Logger命令就可以实现日志的写入。在脚本启动/停止、重要的脚本执行以及实时数据产生的情况下都要执行写入日志操作。这样出现问题的时候，查看主要的系统日志就可以很容易地看到发生了什么。

大型系统经常会使用专门的工具如 Local5来记录日志，并配置Syslog或者Syslog-ng来将其存放在单独的文件中，这样会更容易使用。需要注意的是，Syslog工具和 Logger（以及任何Syslog调用）默认优先使用user.notice，如有必要，你可以对其进行调整。

一个好的系统会对程序进行配置，用来打开或者关闭日志，并可以选择在每模块或者功能的级别上应用不同级别的日志。这使得我们可以记录非常详细和强大的日志，用来分析和调试在生产操作中所发生的问题。【日志这玩意让人爱让人恨，爱是因为他可以让我们查出很多潜在问题，恨是因为，访问量过大的网站LOG几天就可以把磁盘撑满】

大型高性能网站的十项规则

 5、使用良好的数据库设计和SQL

在任何系统中，数据库通常是最大的性能瓶颈。而影响数据库性能的最大两个问题是数据库设计和SQL代码质量。很多系统都拥有良好的或者至少是可用的数据库设计，但由于没有经过适当的性能测试，SQL代码质量通常都会很差。这样的SQL代码在开发环境中可能运行很快，因为其中只有小数据集和最小的负载。但是当成千上万的用户同时读取数据库中上百万条记录的时候，它就很可能会崩溃。

不幸的是，这些问题一开始并不明显，直到系统增大、突然开始崩溃的时候才会显现出来。在增大的过程中，数据库系统看起来运行得很快（因为数据都位于内存中，而且很少有并发的查询），并且对用户的响应也很快，但实际上它的内部运行效率很低。这并不重要，我们关注的是在系统增大并遇到性能问题之前找到这些问题并加以解决。

关于这个问题有很多不错的书和站点进行了解析，其中的关键工具包括慢查询日志、INNODB状态系统，以及描述当前性能的MySQL统计信息。我们见到过很多系统每秒会读取500,000条数据，这是出现SQL问题的明显预兆，但公司往往对其一无所知直到服务器开始崩溃。

MySQL系统应该对所有数据使用 INNODB存储引擎，因为INNODB与之前的MyISAM相比，运行得更快、更稳定，并且管理性能和备份工作也更加容易和快捷。在主配置文件中，INNODB应该被设置为默认的数据库引擎，并且系统应该不时地进行检查，看是否意外创建了MyISAM的表。【这点好象和很多人的想法是相反的吧？很多人都认为应该是创建MYISAM表，而不是INNODB，妖了。。。】

6、总要拥有良好的DB配置和备份

很多公司都没有良好的备份机制，也不知道如何恰当地完成这项工作。MySQL的Dump是不够的，因为最好的备份方法是使用LVM快照和INNODB对系统进行热备份，从而得到超快的速度和超高的可靠性。

另外，在将所有备份文件从服务器上转移出来之前要进行压缩和加密。另外还要确保拥有设计合理的MySQL配置。MySQL默认安装使用说明中只有5~10行关于配置的说明，这根本不适合开发使用。而我们提供给客户的最佳实践文档足足有10页那么长。文档中大约有100种有用的关于安全、性能和稳定性问题的设定，包括防止数据败坏，其中很多设定都是非常重要的。【很验难配，真的，想配置的好真的很难】

7、使用读/写数据库分离

随着系统变得越来越庞大，特别是当它们拥有很差的SQL时，一台数据库服务器通常不足以处理负载。但是多个数据库意味着重复，除非你对数据进行了分离。更一般地，这意味着建立主/从副本系统，其中程序会对主库编写所有的Update、Insert和Delete变更语句，而所有Select的数据都读取自从数据库（或者多个从数据库）。

尽管概念上很简单，但是想要合理、精确地实现并不容易，这可能需要大量的代码工作。因此，即便在开始时使用同一台数据库服务器，也要尽早计划在PHP中使用分离的DB连接来进行读写操作。如果正确地完成该项工作，那么系统就可以扩展到2台、3台甚至12台服务器，并具备高可用性和稳定性。【我不知道这篇文章是几年前的，我相信，目前所谓的读写分离好象用的不多了，更多的会采用前置处理，然后由数据库自动分发，以及采用更好的缓存功能。读写其实并不能增强多少性能。当然如果是电子商务网站，或许可以。但对于PHP来说，真的没多大意义 ，因为PHP没有连接池功能，读和写发生交互的时候，相当于连接了两个数据库，还不能互相同时使用】

8、使用类似Memcached之类的数据库缓存

即便有了好的数据库设计、SQL和读写分离，大型的系统仍然需要更快的性能，特别是对会话状态、好友列表以及BBS文字之类的东西。为了达到这个目的，我们可以使用像MemCached之类的数据缓存，它是一个高性能的简单数据缓存，已经被所有最大型的站点使用。但是要小心的是，不要100%依赖于一台Memcache服务器来提高性能，因为如果那台服务器崩溃了，就会破坏整个系统的性能。在这种情况下，应该使用2~3台Memcache服务器形成簇集架构，并且有选择地包含一个缓存准备过程，如果缓存服务器重启，需要重新载入数据，它能够快速地载入缓存。【推荐】

9、构建测试和开发环境

很多公司只有开发者的桌面系统和他们的生产服务器。当系统变得越来越大、越来越复杂时，测试和管理代码就会导致严重的问题。最佳的实践是拥有两个测试系统，一个用于开发者的代码和功能的整合测试，另一个要与生产环境完全一致，从而更容易向生产环境平滑地过渡。幸运的是，现在使用云计算（或者私有云）可以轻松达到这一点。一个5~10台服务器的生产环境，可以很容易地在办公室或者IDC中使用一台服务器来复制，从而用于测试，而这台服务器我们可以用于多个客户的项目。【正如文章开头所说的，哪有空来做这事啊。。。】

10、使用版本控制

最后，要对一切使用版本控制，包括测试和生产环境的部署。很多开发者都使用SVN或者类似的方法。在理想状态下，这些方法可以被用于所有代码、脚本、HTML、图片、配置、文档和测试。版本控制应该是代码转移到测试环境的必经之路，而不是简单地复制或者使用tar文件，因为这二者都是不可靠的。开发者应该将所有一切都签入，打上标签，然后将它们签出到测试系统。如果所有都没问题，那么它们会将该版本签出到生产环境。【多人开发的时候非常有必要。从最初CVS到SVN到现在的GIT，经历了很多了，好象linus推荐是采用GIT，好象是可以直接在本地就可以创建版本库】

总 结：
不管是在开发还是在运营过程中，创建可靠的 高性能Web系统都有很多应该注意的事项。本文试图从可操作性和可靠性的角度讨论最重要的几点。当你构建和管理站点的时候，请不要忘了这些重要的问题。遵 循这些规则会有助于确保系统长久、良好地运行。

作者简介：
Steve Mushero，ChinaNetCloud 公司联合创始人、CEO兼CTO，拥有全球20多年的技术管理经验。曾担任土豆网、Intermind和 Advanced Management Systems等多家企业CTO

译者简介：
侯伯薇，生于凤城，学在春城，做过国内和对 日项目，现在大连某保险公司工作。乐于钻研技术，同时注重业务知识，勤于思考，愿意与人交流和分享。

很老的一篇文章，可即使是如今看来，也有可取之处。06年的了。现在都09年了
最近，几乎所有的网站都在以改善用户体验为首要目标，所以，更加需要查看这些文章来做参考。

原文：http://www.bloghuman.com/post/196/

内容如下：（图片我也没有下载到本地，直接用的该网站的）

登录界面经常遇到的几个问题：
1、“注册”“找回密码”等这些个非“登录”任务本身的嫡亲应该安排在那里？
我的观点：首先一定要明确“严格来说他们并不属于这个任务”。
放在那里不重要，重要的是我们需要给表现成“相关任务”，不要当作该任务界面的主要元素来处理。（无论在架构还是在交互上都不要让他“喧宾夺主”）
2、“保存cookies”“登录设置”等些个“登录”任务的直系亲属应该如何处理？
我的观点：首先，这些属于任务的一部分。
其次， 如果默认设置能够帮助完成这些信息可以尽量不需要在登录任务里显示，
然后，如果需要 一定要简洁，但简洁的同时要注意文字的表达（如，“自动登录=保存密码+自动登陆”的表达就很不合适）。而且一定要注意默认的备选项设置。
3、表单的排列是横排还是竖排？横排该怎么排，竖排又该怎么排？
我的观点：横排还是竖排要看页面的排版所需，没有什么大的原则问题。具体怎么排只要用心思考一下肯定就知道权衡了，
横排用户的焦点轨迹跨度较大，但空间占用较小；竖排用户的焦点轨迹可以是直线，但空间较大。如果条件允许我建议用竖排，如果规范所限或条件有限我不介意用横排。但大部分情况下我很介意在输入框中默认一些类似"再次输入密码"等傻瓜提示信息的行为。
4、是否需要验证码？
我的观点： 如果安全性没有大问题的话一定不要。
但好像你的技术搭档绝大部分时候都会告诉你“安全性”有大问题，所以很多时候我们不能“为了细节的良好体验而纵容了系统的安全受挫”...
所以这个命题索性可以改成“验证码”应该怎么设计？
我反对一： 中文验证码 （纯弱智的设计）
我反对二： 英文和数字混合的验证码 （给用户输入带来了不少麻烦）
我反对三： 超过4位的验证码 （记忆中好像据说是什么研究结果）
我反对四： 有大写字母的验证码，
特别是大小写混合且实际系统判断时还不区别大小写的 —— 虽然你不区分大小写，但你显示的是大写很多用户就会很费劲的打开大写输入填写大写字母，无形中给用户带来了负担。
5、目前看到的一个我最喜欢的登录任务的设计：

喜欢一： 任务明确，登录任务应该包括“登录信息+登录设置”，“找回密码”不属于登录任务，这些它都交代的很清楚。
喜欢二： 流程清楚，竖排排列用户可以直线思维操作， 用户>密码>保存密码>登录 一气呵成。
喜欢三： 设计精简，类似“保存我的信息”“自动登录”都没有放到这里，这就是我所说的“如果默认设置能够帮助完成，这些信息可以尽量不需要”。因为，大部分情况下如果你真的需要设置 说明你已经不是简单的初级用户，那么你一定有能力自己去找解决方案
喜欢四： 小细节大学问之 —— 错误密码记忆。
看看上图“用户>密码>保存密码>”三个步骤之间都有一个不小的行间距，这个间距空袭乍一看似乎并没有什么作用。
但研究过的人会发现里面的学问不小..
如，

当我第一次输入一个错误的密码时，系统在判断错误后会在提示错误的同时把我的这个输入记忆，当我再次输入这个错误密码时，系统会自动在客户端提示“密码错误”。这样做减少了用户的一次误操作同时也减少了一次提交给服务器端的任务。因为： 密码的输入显示是*并非能直接看到你的确切输入结果，有很多时候你确实是记错了，可以你以为是你自己输入出错了。
喜欢五： 小细节大学问之 —— 验证码
等你输入错误一定次数时才会出现验证码。 （不是一开始就有验证码，也不是你输入错误多了就不让登录）
6、yahoo的登录也很有意思：

优点一： “防密码失窃”功能的设计很有想法，这样的布局基于好的图形设计创新
优点二： 任务足够简单
优点三： 大家好像都具备这些..
缺点一： 任务足够简单，但拖泥带水过多
缺点二： 记忆用户ID的功能很好，但这种显示方式不舒服，给用户的修改增加了步骤
7、细节之 —— 减少用户的填写
我目前为止利用过四次很偶然的机会，观察过五个普通网民用户使用126邮件的过程。
他们在登录时有四个人遇见了同样的问题 —— 输入的时候不知道只要输入 whitecrow_zhu就可以了，而是输入完整的whitecrow_zhu@126.com。
另外一个没有出现这种情况的用户是因为，当他打到"@"符号时，旁边有个人提示他“你SB呀，后面的不用填”，所以他才没有填...

8、总之登录”就是一扇门“

一扇让产品和用户真正互通的门，让产品可以给用户体现出更多价值的门。
所以这个门一定要： 够宽、门槛够低、一直开着、记忆每次进出...

一直以来,IBM developworks都是我比较关注的网站，它上面有很多内容是IBM公司内部人员所写，也有一部分内容是业界领先人士根据自身经验写出的教程，因此，它一直是我的订阅对象之一。本文就是其中一篇比较旧的文章，最初发表于2007年3月15日，但是从今天的眼光来看，它还是有一定的学习价值，所以我贴出来了。

简介如下：（原文我就不贴了，大家可以点其中的链接我自己也会点过去看的）

现在，Web 站点已经成了业务的重要部分，而用来创建和部署 Web 站点的工具也变得更加灵活和容易使用。但是，复杂 Web 应用程序的开发并不轻松，它们需要的不只是标准的交互和更新方法（比如 blog）。组织中的每个应用程序常常还需要进行定制。

开放源码社区提供了各种工具，结合使用这些工具可以为复杂的 Web 应用程序创建一个有用的开发和生产环境。这个系列文章来自 IBM Internet Technology Group 团队，他们将展示如何把开放源码软件作为基础，并提供一种方法和一些改进来帮助简化 Web 站点的开发过程。尽管定制仍然是有必要的，但是这个系列讲解了如何使用开放源码工具和技术快速建立和运行复杂的 Web 站点。

在这个系列中，Internet Technology Group 团队通过一个虚构的组织，International Business Council（IBC），来展示如何更有效地尽可能地扩展 Web 站点的功能，这些功能包括文档存储、讨论组、专门的工作组、研讨会日程安排、日程议题描述、会话过期和其他任务。他们举例说明了创建这个 Web 站点需要用到下列开放源码工具：

• Drupal - 开放源码的内容管理系统
• MySQL - 开放源码的数据库
• PHP - 可以使用 PHPMyAdmin 和 SQLBrowse 创建动态 Web 内容的开发语言
• Apache - 开放源码的 Web 服务器
• Eclipse - 开放源码的开发环境
• CVS - 用于跟踪代码变更的代码管理系统

Internet Technology Group 团队会首先介绍业务场景以及选择开源工具的决定因素，他们还通过描述一个灵活的开发方法来讲解了应用程序的设计流程。这个流程可以用来设计 Web 站点或者应用程序的用户体验。接着，他们会一步一步地指导如何安装和使用前面所提到的开发工具套件。这些步骤包括：

• 建立开发环境
• Drupal 入门
• 着重介绍 Drupal 与其它软件工具的交互（如 MySQL， Ajax 和 PHP）
• 构建 Drupal 定制模块
• 部署和调整安装

沿着这条道路，Internet Technology Group 团队同其他可选方案进行了对比，并讨论了如何通过集成其它软件组件来尽可能地增强这些工具。

现在就链接到 项目实现：

• 第 1 部分，简介和概述
• 第 2 部分，设计有效的用户体验
• 第 3 部分，在 Windows 中建立开发环境
• 第 4 部分，在 Linux 中建立开发环境
• 第 5 部分，Drupal 入门
• 第 6 部分，在 Drupal 中构建定制模块
• 第 7 部分，使用 XHTML 为主题化内容建立结构
• 第 8 部分，使用 CSS 对主题化内容应用样式
• 第 9 部分，理解数据库层
• 第 10 部分，外部网 Web 站点的特性
• 第 11 部分，使用 Drupal 中的分类法
• 第 12 部分，主机托管和部署
• 第 13 部分，Eclipse 中的 PHP 开发
• 第 14 部分，announcement 模块源代码
• 第 15 部分，学到的经验

 从今天开始，逐步对MYSQL数据库的设计以及一些常规资料进行介绍。内容可能会参考网络或者书籍，当然还有自己的一些小小的经验。思维可能会有点跳跃，但可以肯定的是，本文没有一个字是从网上COPY下来，纯粹是手工输出。如果有错别字，请留言，我会尽快改正。 

数据库应用程序的第一阶段往往都是对数据库进行设计，设计的好坏对应用程序执行效率的高低、程序的编写以及后期的维护工作的难易程序和能否在今后灵活修改设计方案等问题会产生巨大且深远的影响。因此，可以这么认为，在设计阶段埋下的隐患会在后期给开发者和使用者带来无穷的烦恼和痛苦，而这个，却没有任何捷径可走，数据库设计方案的好坏与设计者的知识和经验是否丰富有着很大的关系，如果单位有DBA的话，或许要担心的事会少一点，如果没有，黑黑，那就等着受苦吧。

事先说明，本人的设计能力也非常差，所以，在设计一块，我是绝对参照书本而写，即使有个人见解也不会太多。

要设计数据库，就不得不了解MYSQL数据表的一些基本类型，我在以前的文章里也介绍过，只是今天在这里我会介绍的更详细一点。MYSQL支持多种数据表类型，比较重要和使用的多的表类型是：myisam,innodb,heap三种。

如果在创建数据库的时候，没有指定表的类型，一定是根据mysql的配置文件中：default-table-type这个选项来决定的，基本上，大多数的设定都是myisam，也有可能是innodb，但几乎可以肯定不会是heap,如果有，那实在是太妖了。

今天有点晚了，先介绍一下myisam类型的表的特点吧，明天再介绍其他的。

myisam的最大特点就是成熟、稳定和易于管理，这种类型也是mysql所特有的。并且，如果没有其他什么特殊应用，如事务等，一般建议是选用这种类型的表结构。

虽然大家都了解myisam，并且在实际应用中也正在使用这种类型的表结构，但恐怕你不知道的是，即使是myisam结构，也会为三种类型：

1、myisam static(静态myisam),一般来说，如果数据表的数据列各自都有预先定义好的固定长度，服务器会自动选用这种类型。该类型的存储、读取效率非常高，即使是大量的CRUD操作（只是为了方便，因为R是读取，删了R的话，又是一个新名词，所以还是把R放在了里面）也是如此。同时，该类型的表结构安全性很高，即使出现文件受损或其他问题，数据记录的提取和恢复工作也比其他类型的数据表更容易。

2、myisam dynamic(动态myisam)，这个就相对比较好解释了，凡是数据表结构里有varchar字段的，服务器就会自动选用这种类型。优点是：与静态myisam相比，本类型所占用的数据空间会小上很多，在存储字符串和二字制数据时所需要的字节数也往往就是它们的实际长度（或许会额外多出几个字节的开销）。缺点是，这样会造成每行数据的记录长度会不一致，如果数据在进行更新或删除操作的时候，很容易就会在原先存储这些数据的地方形成空洞，造成空间的浪费，而且还会造成数据的不连续，并分散在各处。当数据碎片越来越多的时候，数据的存取时间也就会越来越长。因此，就有了一个单独的方法：optimize table或者其他专门的工具来对数据表进行优化

3、myisam compressed(压缩型myisam)，以上两种类型都可以使用myisamchk工具进行压缩，一般来说，压缩后的数据库占用空间大多仅为原来大小的一半（当然这也于数据库存储的内容有关）。虽然以后在读取他们的时候需要先进行解压缩操作，但在“低速硬盘+高速CPU”的系统上，数据表的访问会变得极快。然而，这种类型的表有一个非常致命的缺点，即它们是只读的，不能进行任何写操作。

今天先介绍到这里，明天继续往下讲。希望会给大家带来帮助。

目的：

对目前已有的 Web 应用系统，和将来待开发的 Web 应用系统进行集成，实现单点登录。

要求：

1. 对已有的 Web 应用系统不作大规模改造。
2. 不限制待开发的 Web 应用系统的开发工具。
3. 不增加待开发系统的开发难度。

分析：

1. 目前，已有的系统都各自维护自己的一套用户库，每个系统中的用户数、用户名、密码几乎都各不相同。要将已有的用户库进行统一是不现实的。因此，我们可以通过将单点登录系统中的用户与其它个系统中的用户建立映射，来实现用一个帐号来管理多个系统的目的。
2. 已 有的 Web 应用系统、以及待开发的 Web 应用系统，可能不在同一个域下，虽然会话本身是保存在服务器端，但是会话 id 是需要 cookie 来传递的，而 cookie 不允许跨域访问，而且考虑到各个系统的开发工具也各不相同，即使在同一个域下，不同的开发工具所开发的应用程序之间也很难共享会话，因此要用共享会话的方 式来实现单点登录也不现实。因此我们通过在客户端浏览器、单点登录系统和 Web 应用系统之间传递临时会话，并让 Web 应用系统直接到单点登录系统中获取认证信息来实现单点登录。为保证不同开发工具都能够到单点登录系统获取认证信息，我们采用 xml-rpc 在 Web 应用系统和单点登录系统之间进行通讯。

实现：

单点登录系统中设置 4 个表：

1. 单点登录系统用户表，包含 user_id，name，password 3 个字段。
2. Web 应用系统表，包含 app_id，name（Web 应用系统名称），checkurl（Web 应用系统中用来验证用户登录的程序地址） 3 个字段。
3. 单点登录系统用户到各个 Web 应用系统的用户映射表，包含id，user_id，app_id，name，password 5 个字段。
4. 临时会话表，包含 hash（临时会话的 hash 编号），id（对应单点登录系统用户到各个 Web 应用系统的用户映射表中的 id 字段） 2个字段。

用户登录单点登录系统时，通过单点登录系统用户表中的字段来验证用户身份。登录以后，用户可以设置各个系统到该系统用户的映射关系。设置好以后，当通过该 系统进入其他某个 Web 应用系统时，该系统会为该用户和该系统生成一个临时会话编号（hash），并转到 Web 应用系统中的登录检测页面，登录检测页面通过获取到的临时会话编号，来调用单点登录系统的获取用户名和密码的 xml-rpc API，如果用户名密码如果正确，则转到正常登录后的页面，如果不正确，则转到登录错误的页面。这里，xml-rpc API 在返回用户名和密码后，将删除单点登录系统数据库中相应的临时会话，这样不但用户名、密码都是在服务器之间进行传递的，并且临时会话存在的时间也是尽可能 的短，因此只要保证服务器之间的对话不能被监听，即可保证安全性。 已有系统需要增加一个用于单点登录系统的登录验证页面，该页面工作过程大致如下：

1. 获取 客户端 hash 值
2. 通过 hash 值得到用户名和密码（xml-rpc 调用）
3. 通过用户名和密码进行身份验证
4. 返回身份验证后的页面

原作者：andot，来源coolcode.cn，原文：http://www.coolcode.cn/show-89-1.html