设计一个用户表（users），包含字段：user_id（主键，UUID）、username（唯一，字符串）、password（哈希后存储，字符串）、email（唯一，字符串）、created_at（时间戳）。请说明索引设计、事务处理以及如何保证数据安全（如防止SQL注入）。

1) 【一句话结论】设计用户表时，以UUID作为全局唯一主键，对username和email添加唯一约束并建立索引，通过事务（如读已提交隔离级别）保证数据一致性，并采用参数化查询防止SQL注入，确保数据安全与高效查询。

2) 【原理/概念讲解】老师会解释关键概念：

• 主键设计（UUID vs 自增ID）：用UUID（全局唯一标识符），因为自增ID跨机房部署时可能冲突（如不同节点自增ID不同步），而UUID不受网络或系统影响，确保全局唯一，避免数据冲突。类比：就像身份证号，每个用户都有唯一ID，不会重复。
• 唯一约束：username和email字段添加唯一约束，防止重复注册（如“张三”不能有两个用户名，邮箱“123@qq.com”不能重复），保证业务规则。
• 索引设计：主键自动生成B树索引（高效唯一性检查），其他唯一字段需手动添加索引（如INDEX idx_username(username)），提升查询性能（如通过username快速查找用户）。普通索引用于非唯一字段（如created_at），加速按时间范围查询。
• 事务处理：注册等操作需用事务（BEGIN TRANSACTION; ... COMMIT;），利用ACID特性（原子性、一致性、隔离性、持久性），确保多字段更新时数据一致（比如同时插入user_id、username、email时，事务保证要么全成功要么回滚）。事务隔离级别选择“读已提交”（如注册时，避免脏读，即其他事务未提交的数据不影响当前事务）。
• 数据安全：password用哈希（如bcrypt，带盐值）存储，避免明文泄露；SQL注入防护用预编译语句（如PreparedStatement），将用户输入（如username、email）与SQL语句分离，防止恶意构造SQL攻击（如SELECT * FROM users WHERE username=? AND password=?，参数用占位符替换，而非拼接字符串）。对于动态SQL（如动态表名、列名），需额外验证，避免SQL注入。

3) 【对比与适用场景】

索引类型	定义	特性	使用场景	注意点
主键索引	表的主键自动创建的索引	高效唯一性检查，B树结构，唯一且非空	主键字段（如user_id）	必须唯一，不能为NULL
唯一索引	强制字段唯一性的索引	B树结构，允许NULL（但每个NULL算一个）	username、email等唯一字段	避免重复数据，提升查询速度
普通索引	提升非唯一字段的查询性能	B树结构，允许重复值	查询条件中频繁使用的非唯一字段（如created_at）	占用存储空间，更新时维护成本高
覆盖索引	包含查询所需所有字段的索引	减少I/O，提升查询性能	高并发下频繁查询的列组合（如username+email）	需要确保索引列包含查询和过滤条件

4) 【示例】
SQL创建表（PostgreSQL示例）：

CREATE TABLE users (
    user_id UUID PRIMARY KEY DEFAULT gen_random_uuid(),  -- UUID主键，自动生成
    username VARCHAR(50) NOT NULL UNIQUE,              -- 唯一用户名
    password VARCHAR(255) NOT NULL,                    -- 哈希后存储
    email VARCHAR(100) NOT NULL UNIQUE,                -- 唯一邮箱
    created_at TIMESTAMP DEFAULT CURRENT_TIMESTAMP,    -- 创建时间戳
    INDEX idx_username (username),                     -- 对username添加唯一索引
    INDEX idx_email (email)                            -- 对email添加唯一索引
);

5) 【面试口播版答案】
面试官您好，针对用户表设计，核心思路是保证数据唯一性、查询高效性和操作安全性。首先字段设计：主键用UUID（全局唯一，避免自增ID跨机房冲突），username和email加唯一约束（防止重复注册）。索引方面，主键自动生成B树索引，其他唯一字段也需索引提升查询性能，比如通过INDEX idx_username(username)和INDEX idx_email(email)。事务处理上，注册等操作需用事务（如BEGIN TRANSACTION; ... COMMIT;），确保多字段更新时一致性（ACID特性），比如同时插入user_id、username、email时，事务保证要么全成功要么回滚。数据安全方面，password用哈希（如bcrypt）存储，SQL注入防护用参数化查询（如PreparedStatement），将用户输入的username、email等参数与SQL语句分离，防止恶意构造SQL攻击。对于高并发场景，考虑分片（如按user_id哈希分片）或覆盖索引减少I/O，事务隔离级别选“读已提交”避免脏读。这样设计既保证了数据完整性，又提升了查询效率，还确保了操作安全。

6) 【追问清单】

• 问题1：为什么用UUID而不是自增ID？
  回答要点：UUID全局唯一，跨机房部署无冲突，自增ID可能因不同节点同步问题导致重复，影响数据一致性。
• 问题2：如何处理高并发下的索引性能？
  回答要点：采用分片（如按user_id哈希分片）或覆盖索引（包含查询所需列），减少I/O，提升查询效率。
• 问题3：事务隔离级别如何选择？
  回答要点：根据业务需求，注册时用“读已提交”隔离级别，避免脏读（其他事务未提交的数据不影响当前事务），保证数据一致性。
• 问题4：如果用户名或邮箱被占用，如何处理？
  回答要点：返回错误信息，提示用户修改，避免重复数据。
• 问题5：哈希算法的选择？
  回答要点：选择强哈希（如bcrypt，带盐值），避免彩虹表攻击，确保密码安全。

7) 【常见坑/雷区】

• 主键用自增ID：跨机房部署时可能冲突，导致数据不一致。
• 忽略唯一约束：导致重复用户名/邮箱，违反业务规则。
• 不使用事务：多字段更新时数据不一致，比如注册时user_id生成后，其他字段未插入成功。
• 未防护SQL注入：直接拼接SQL，导致恶意输入构造非法SQL，泄露数据。
• 索引设计不当：比如没有对唯一字段添加索引，导致查询性能下降。