mysql命令大全

2012-9-13 杜世伟 Mysql

create database name; 创建数据库

use databasename; 选择数据库

drop database name 直接删除数据库，不提醒

show tables; 显示表

阅读全文>>

标签: mysql

评论(0) 浏览(17522)

SQLGuard：给你的 SQL 变更装上 AI 护盾

2026-5-13 杜世伟 Message

SQLGuard：给你的 SQL 变更装上 AI 护盾

一个开发者写给开发者的工具——让每一条上线的 SQL，都经过一双”会思考”的眼睛。

从一次线上事故说起

“DELETE FROM orders;”

没有 WHERE 子句，也没有 LIMIT 限制。凌晨两点，DBA 的手颤抖着盯着屏幕，数据已经清空。这条 SQL 在本地测过、Review 通过、CI 绿灯放行——但没有人注意到那个缺失的 WHERE。

类似的故事每年都在无数团队里上演。工具链里缺了一个关键环节：专门理解 SQL 语义风险的 Review 工具。

这就是 SQLGuard 诞生的原因。

它做什么

SQLGuard 是一个结合规则引擎与 AI 大模型的 SQL 风险检测工具，提供桌面客户端和 API 服务两种使用方式。

提交一段 SQL，它会告诉你：

• 哪里有高风险操作（P0/P1 级别）
• 为什么危险，影响范围是什么
• 如何改写更安全

不是简单的关键字扫描，而是基于 AST 语法树分析，理解你写的是什么，而不只是你写了什么字符串。

技术栈选型逻辑

后端：Python FastAPI + sqlglot

早期版本用正则做 SQL 检测，结果一堆误报——DROP 出现在注释里也被标记，DELETE 有子查询时 WHERE 判断失效。

换用 sqlglot 之后，SQL 被解析成 AST，规则基于语法节点判断，准确率大幅提升。sqlglot 支持 20+ 种方言（MySQL、PostgreSQL、Spark SQL 等），方言差异不再是检测盲点。

FastAPI 处理 HTTP 层，异步架构保证文件批量上传时不阻塞主线程。ZIP 包里几十个 SQL 文件并发分析，结果按文件维度聚合返回。

AI 集成：双引擎适配

规则引擎能发现已知模式，但 AI 能发现你没想到的问题——比如某个查询的隐式笛卡尔积，或者特定业务场景下 LIMIT 的必要性。

hybrid 模式：规则先跑，AI 补充分析，结果合并去重
rule 模式：纯规则，快速、可离线
ai 模式：纯 AI，适合复杂业务逻辑审查

AI 层支持 OpenAI 兼容接口（OpenAI、DeepSeek、Qwen 等云端模型）和 Ollama 本地模型，数据不出内网时选 Ollama，完整隐私保障。

客户端：Electron 桌面应用

不是又一个 Web 平台——是一个你可以装在本地、离线运行的桌面工具。后端地址可配置，团队用 Docker 部署共享后端也好，个人本地跑 Ollama 也好，客户端切换一个地址搞定。

一个被低估的功能：ZIP 批量分析

数据库迁移脚本动辄几十个文件，逐个粘贴到工具里不现实。

SQLGuard 支持上传 .zip 压缩包，自动遍历其中所有 .sql/.txt 文件：

• 单文件异常不中断整体分析（容错处理）
• 自动忽略 __MACOSX/ 等系统垃圾目录
• 同内容分组（content_group）：相同 SQL 的文件复用同一次 AI 分析，避免重复调用
• 目录树展示 + 分文件问题明细折叠展开
• 支持筛选：全部 / 仅失败 / 仅跳过 / 仅重复内容组

发版前把整个迁移脚本目录打包扔进去，一次出完整风险报告。

GitLab MR Review 集成

对于已经在用 GitLab 的团队，SQLGuard 提供了 /gitlab/mr-review 接口，直接接收 MR Diff 内容：

curl -X POST http://127.0.0.1:8000/gitlab/mr-review \
  -H "Content-Type: application/json" \
  -d '{
    "title": "feat: 用户查询优化",
    "diff": "+ SELECT * FROM users;\n+ DELETE FROM users;",
    "mode": "hybrid",
    "dialect": "mysql"
  }'

可以挂在 GitLab CI Pipeline 里，在 MR 合并前自动触发 SQL 风险扫描，有问题直接阻断合并。把 SQL Review 变成 CI 门禁，而不是靠人工记得检查。

导出报告：Review 过程可追溯

检测结果支持一键导出 JSON / Markdown 报告，区分简版和详细版。导出前有预览弹窗，预览内支持关键字搜索和高亮，上一处/下一处跳转，方便在发现问题后快速定位上下文。

这份报告可以直接贴进 MR 描述、需求文档或者周报——Review 过程有据可查，而不是”口头说没问题”。

部署很简单

个人开发者：三条命令跑起来

python3 -m venv myenv && source myenv/bin/activate
pip install -r requirements.txt
python backend/main.py

团队共享：Docker Compose 一键启动

cp .env.example .env  # 填入你的 Ollama 地址或 API Key
docker compose up -d

生产环境：Nginx 反向代理 + HTTPS + CORS 白名单，README 里有完整配置示例，包括速率限制和 IP 白名单。

安全性：一个工具审查别人的安全，自身不能是漏洞

SQLGuard 在设计上做了几个关键决定：

• 无硬编码凭证：所有 API Key、模型地址通过环境变量注入
• CORS 白名单：通过 ALLOWED_ORIGINS 环境变量控制，默认只允许本地回环地址
• HTTP 方法限制：API 只接受 GET/POST，拒绝其他方法
• Electron 沙箱：contextIsolation: true、sandbox: true、nodeIntegration: false，渲染进程无法直接访问 Node.js API

写在最后

SQLGuard 不试图替代人工 Code Review，它做的是消灭那些”本不该出现”的风险——那些在 Reviewer 注意力不集中时、在深夜赶版本时、在例行操作掩盖下溜进去的高危 SQL。

工具已经开源，本地跑 Ollama 完全免费，数据不出网。

如果你的团队有 SQL 变更上线的压力，值得试一试。

项目地址：github.com/dsw0214/sql-guard

评论(0) 浏览(13)

OpenClaw Skill 官方 + 快速上手清单

2026-3-21 杜世伟 AI

一、OpenClaw 主站与文档

• 官方主站：https://openclaw.ai
• 中文主站：https://openclaws.io/zh/
• 官方文档中心：https://docs.openclaw.ai
• Skill 官方文档：https://openclawlab.com/zh-cn/docs/tools/skills/

二、官方技能市场（ClawHub）

• 技能市场（Skill Marketplace）：https://clawhub.ai
• 技能仓库：https://github.com/openclaw/skills

阅读全文>>

标签: openclaw skill

评论(0) 浏览(162)

横向扩展并非万能解：为什么Scale-Out解决不了所有问题?

2026-3-14 杜世伟 架构

在技术圈的集体潜意识里，横向扩展（Scale-Out）早已被奉为现代分布式架构的“政治正确”。仿佛只要遇到性能瓶颈，堆机器就是最优雅的解药。微服务、容器化、云原生——这些被狂热追捧的概念，无不将“水平扩展能力”刻进基因。

但现实往往比叙事更残酷。

当我深入剖析大规模AI训练集群的性能瓶颈，复盘金融核心系统的诡异故障时，发现一个令人不安的真相：Scale-Out正在沦为技术负债的温床，而那个被刻意遗忘的“集群挤兑”问题，正在将无数分布式系统推向性能坍塌的边缘。

拥挤的集群：被遮蔽的“公地悲剧”

横向扩展的逻辑看似无懈可击——通过增加节点线性提升系统吞吐量。但这一假设建立在理想化的前提上：工作负载完美切分，节点间通信零开销，资源争用不存在。

现实世界的分布式系统，却在经历一场无声的“公地悲剧”。

阅读全文>>

标签: 架构 横向 扩展 终局

评论(0) 浏览(135)

nginx gzip_vary on 和 off 具体代码什么意思

2026-2-8 杜世伟 Nginx

一、先搞懂核心概念：Vary 响应头

二、gzip_vary on/off 的具体含义

1. gzip_vary on（推荐开启）

• 行为：当 Nginx 开启 gzip 且对资源做了压缩时，会在响应头中添加 Vary: Accept-Encoding。

阅读全文>>

标签: nginx gzip_vary

评论(0) 浏览(221)

本地/自建部署ComfyUI服务

2026-1-3 杜世伟 Python

git clone https://github.com/comfyanonymous/ComfyUI.git

阅读全文>>

标签: source python ComfyUI

评论(0) 浏览(248)

从技术拦截视角看快手直播事故后的风险管控升级

2025-12-23 杜世伟 Message

一、前置拦截：筑牢源头防线，阻断风险入口

前置拦截是风险管控的第一道屏障，核心目标是在违规内容开播前就识别并阻断风险，重点针对账号注册、开播鉴权、内容准入等关键环节，从源头压缩黑灰产操作空间。

在账号风控层面，需强化多维度身份校验与集群行为识别。黑灰产此次能批量同步开播，关键在于绕过了常规的实名与人脸验证机制。对此，应引入设备指纹、行为画像等技术，建立账号风险评分体系：对同一IP地址、同一设备短时间内注册多个账号的行为，自动触发二次验证或直接限制注册；对异地登录、登录设备频繁更换、账号信息高度雷同的账号，标记为高危账号并限制开播权限。同时，接入跨平台黑名单共享机制，将已被其他平台封禁的主播身份信息、设备指纹同步至系统，杜绝“换马甲重生”的可能。

阅读全文>>

标签: 技术 快手 风险 拦截 管控

评论(0) 浏览(336)

技术是武器，但真正让你走得远的，是解决问题的能力

2025-12-21 杜世伟 Message

近几年，我经常遇到这样的场景：年轻人焦虑地问，“我是不是要学更多技术？是不是技能越多，我才能更安全？”
我完全理解这种焦虑，因为技术变化太快了，每一次浪潮都让人觉得如果不赶紧追，就会被世界甩下。

但逐渐地，我愈发清晰地意识到一件事——

技术是武器，是工具，但真正让你走得更远的，是你用技术去解决问题的能力。

这是一个简单，却极少被认真思考的认知。

01 技术不是稀缺品，能力才是

过去几十年，技术学习门槛一直在下降。
以前，学编程需要昂贵的课程和复杂的环境；
现在，一个浏览器就能写代码，AI 还能实时指导你。

过去，懂服务器部署的人凤毛麟角；
现在，云平台一键部署，文档和教材随手可得。

技术越来越普及，工具越来越智能，所以技术本身的价值在下降。

阅读全文>>

标签: 技术 团队 质量 效能

评论(0) 浏览(348)

如何本地搭建部署crewai环境？

2025-12-6 杜世伟 AI

阅读全文>>

标签: pip crewai ai

评论(0) 浏览(327)

决定技术团队上限的，不是技术本身，而是管理者的变革能力

2025-12-1 杜世伟 Message

在技术驱动的商业环境中，技术管理者的角色正在发生深刻变化。从过去的项目协调者、资源调配者，转变为组织技术能力增长的推动者与变革的核心力量。对于现代技术管理者而言，推动持续改善已不仅是一项职责，更是其价值的重要体现。

01 推动研发效能提升：构建可持续的交付能力

研发效能是技术组织的生命线。面对业务增长、竞争加剧以及技术复杂度提升，传统的工作方式往往无法满足新的要求。技术管理者需要从体系化的角度出发，通过流程优化、工具链升级、工程实践完善等方式提高团队整体交付能力。

包括但不限于：

• 建立明确的工程标准与质量基线

• 引入自动化测试与持续交付流程

• 优化需求分析、设计与评审机制

• 推动透明可量化的效能指标体系

这些举措不仅提升研发效率，也为组织在复杂环境下的稳定发展提供保障。

阅读全文>>

标签: 技术 团队 质量 效能

评论(0) 浏览(378)