工作流指南
SQL 格式化与审查指南
把格式化当成“便于审查”的第一步,再去核对 join、filter 和写操作,避免一条“看起来更顺眼”的查询悄悄变成危险语句。
格式化本身不会让 SQL 自动变安全,但它会让危险模式更容易被看到。只要子句被拆到稳定的行结构上,评审者就更容易发现缺失的 join 条件、范围过宽的删除、复制来的字面量,以及 filter 和业务规则开始脱节的位置。
可读性是审查工具,不是安全保证
格式化后的查询,依然只是一条查询。格式化真正的价值,是把子句拆开、把嵌套结构暴露出来,并让关联关系和写操作更容易被看见。至于这条语句是否符合目标数据库方言、是否应该真的执行,仍要靠人工判断。
用格式化把高风险部分挑出来
最值得重点看的,通常是那些真正影响范围和数据完整性的部分:join、where、grouping、limit、update 目标和 delete 过滤条件。查询一旦可读,团队就能有意识地审这些行,而不是被迫相信一条又长又密的一行语句。
- 先看 join 和 filter,再看风格偏好。
- 写操作语句的风险级别,默认高于只读查询示例。
- 涉及方言特有语法时,要始终带着目标数据库去看。
一套实用的浏览器工作流
先粘贴查询并格式化,再重点检查决定作用范围的子句;只有当团队对语句意图达成一致后,才把可读结果带去代码评审、迁移说明或查询控制台。格式化是“让审查成为可能”的步骤,不是“默认批准执行”的步骤。
相关阅读
指南与工作流
相关工具
工具库