| name | redis-safety |
| description | 当用户操作 Redis 相关代码(go-redis、Jedis、redis-py、ioredis)时触发。涵盖禁止 KEYS 命令、SCAN 替代、大 key 控制、Pipeline 批量、TTL 规范等安全与性能要点。 |
Redis 安全规范
防止 Redis 常见性能和稳定性问题,适用于所有语言。
禁止操作
| 禁止 | 替代 | 原因 |
|---|
KEYS * / KEYS pattern | SCAN 游标迭代 | KEYS 是 O(N) 阻塞操作,生产环境会导致 Redis 卡死 |
FLUSHDB / FLUSHALL | 按 key 前缀 SCAN + DEL | 全量删除风险极高 |
| 无 TTL 的 SET | 所有 key 必须设置 TTL | 避免内存泄漏 |
必须遵守
1. 用 SCAN 替代 KEYS
keys, _ := rdb.Keys(ctx, "user:*").Result()
var cursor uint64
for {
keys, cursor, _ = rdb.Scan(ctx, cursor, "user:*", 100).Result()
if cursor == 0 { break }
}
Set<String> keys = jedis.keys("user:*");
ScanParams params = new ScanParams().match("user:*").count(100);
String cursor = "0";
do {
ScanResult<String> result = jedis.scan(cursor, params);
cursor = result.getCursor();
} while (!cursor.equals("0"));
keys = r.keys("user:*")
for key in r.scan_iter(match="user:*", count=100):
2. 大 key 控制
- 单个 key 的 value 不超过 10KB
- 集合类型(List/Set/Hash/ZSet)元素不超过 5000 个
- 超过时拆分为多个 key
3. Pipeline 批量操作
多次 Redis 调用应使用 Pipeline 减少网络往返:
for _, id := range ids {
rdb.Get(ctx, "user:"+id)
}
pipe := rdb.Pipeline()
for _, id := range ids {
pipe.Get(ctx, "user:"+id)
}
pipe.Exec(ctx)
4. 所有 key 设置 TTL
rdb.Set(ctx, "token:123", value, 0)
rdb.Set(ctx, "token:123", value, 24*time.Hour)