⚠️

重要前提

安装AI Skills的关键前提是：必须科学上网，且开启TUN模式，这一点至关重要，直接决定安装能否顺利完成，在此郑重提醒三遍：科学上网，科学上网，科学上网。查看完整安装教程 →

数据库专家技能：SQL优化、ORM实践、Supabase集成与安全开发指南

database-expert by oimiragieo/agent-studio

65 周安装量

24 GitHub Stars

GitHub

安装命令

npx skills add https://github.com/oimiragieo/agent-studio --skill database-expert

数据库性能优化安全

🇨🇳中文介绍

数据库专家

数据库算法规则

在审查或编写代码时，应用以下准则：

您是数据库算法方面的专家。
为性能和可扩展性优化算法。
使用适当的数据结构和索引策略。

数据库交互最佳实践

在审查或编写代码时，应用以下准则：

与数据库交互时：

使用预处理语句以防止 SQL 注入。
优雅地处理数据库错误。
考虑使用 ORM 进行复杂查询和数据建模。
当不再需要时，关闭数据库连接。
使用连接池来提高性能。

数据库交互规则

在审查或编写代码时，应用以下准则：

使用异步数据库库，如 asyncpg 或 aiomysql
SQLAlchemy 2.0（如果使用 ORM 功能）
为数据库和外部 API 操作使用专用的异步函数。

数据库查询规则

在审查或编写代码时，应用以下准则：

使用 Supabase SDK 进行数据获取和查询。
对于数据模型创建，使用 Supabase 的模式构建器。

Prisma ORM 规则

在审查或编写代码时，应用以下准则：

正在使用 Prisma 作为 ORM。

Supabase 后端规则

在审查或编写代码时，应用以下准则：

使用 Supabase 作为后端服务（身份验证、数据库交互）。
使用 Supabase 处理身份验证流程（登录、注册、登出）。
使用 Supabase SDK 安全地管理用户会话和数据。

在 Next.js 中集成 Supabase

在审查或编写代码时，应用以下准则：

您熟悉 Supabase 的最新功能以及如何与 Next.js 应用程序集成。

Supabase 集成规则

广告位招租

在这里展示您的产品或服务

触达数万 AI 开发者，精准高效

联系我们

Supabase 特定规则

在审查或编写代码时，

此专家技能整合了 1 项独立技能：

始终使用参数化查询或 ORM 查询构建器 — 在任何情况下都不得将用户输入拼接到 SQL 字符串中。
绝不将数据库连接字符串或凭据暴露给前端代码 — 所有数据库访问必须通过服务器端 API 函数或边缘函数进行。
始终在包含多租户或用户范围数据的 Supabase/PostgreSQL 表上启用行级安全性（RLS）。
绝不在可能无限增长的表上运行无分页的查询 — 始终添加 LIMIT 或基于游标的分页，以防止超时和内存激增。
始终对必须是原子的多步骤操作使用数据库事务 — 当需要数据一致性时，绝不依赖独立的顺序查询。

反模式	失败原因	正确方法
字符串拼接的 SQL 查询	SQL 注入向量；一个未净化的输入就可能危及数据库	使用 ORM 查询构建器或参数化预处理语句
多租户表上未启用 RLS	任何经过身份验证的用户都可以读取/写入其他用户的数据	在所有用户范围的表上启用基于 `auth.uid()` 范围的 RLS 策略
无限制的 `.findAll()` / `SELECT *` 不带 LIMIT	返回整个表；在大型数据集上导致超时和内存激增	始终使用 LIMIT/OFFSET 或基于游标的分页
无连接池	无服务器函数在负载下耗尽数据库连接	在事务模式下使用 PgBouncer / Supavisor
记录包含值的完整查询字符串	将 PII 和凭据泄露到日志聚合器中	仅记录查询模板；对所有绑定参数值进行脱敏处理

MCP 数据库服务器

使用官方的 MCP 服务器，让代理能够直接访问数据库，而无需编写自定义集成代码。

PostgreSQL MCP 服务器

# 快速开始 — 无需安装
npx -y @modelcontextprotocol/server-postgres postgresql://user:pass@localhost/mydb

# Claude Desktop / agent-studio settings.json
{
  "mcpServers": {
    "postgres": {
      "command": "npx",
      "args": ["-y", "@modelcontextprotocol/server-postgres", "${DATABASE_URL}"]
    }
  }
}

可用工具： query（只读 SELECT）、list_tables、describe_table

关键设计：只读强制执行

PostgreSQL MCP 服务器将查询包装在 BEGIN READ ONLY 事务中，防止意外修改。对于写入操作，请构建一个自定义的 MCP 服务器，并为其工具标注 destructiveHint: true。

代理工作流模式：

1. list_tables → 发现可用表
2. describe_table → 在查询前理解模式
3. query → 运行带有明确列列表 + LIMIT 的 SELECT 查询

SQLite MCP 服务器

npx -y @modelcontextprotocol/server-sqlite /path/to/database.db

# settings.json
{
  "mcpServers": {
    "sqlite": {
      "command": "npx",
      "args": ["-y", "@modelcontextprotocol/server-sqlite", "/path/to/database.db"]
    }
  }
}

可用工具： read_query、write_query、create_table、list_tables、describe_table、insert_row、delete_rows

SQLite MCP 使用模式：

-- 发现模式
list_tables()
describe_table({ table_name: "users" })

-- 安全读取模式
read_query({ query: "SELECT id, name, email FROM users WHERE active = 1 LIMIT 100" })

-- 使用明确列进行写入（绝不使用 INSERT SELECT *）
insert_row({ table_name: "users", data: { name: "Alice", email: "alice@example.com" } })

-- 条件删除（始终使用 WHERE）
delete_rows({ table_name: "sessions", where: "expires_at < datetime('now')" })

SQLite MCP 安全规则：

将服务器指向专用的应用程序数据库，切勿指向系统数据库
当不需要写入权限时，使用只读文件权限
在审计跟踪中记录所有 write_query 和 delete_rows 调用

何时使用 MCP 与自定义实现

场景	使用 MCP 服务器	构建自定义
代理需要查询数据库以获取上下文	MCP（postgres/sqlite）	否
只读探索/分析	MCP	否
复杂的业务逻辑 + 数据库写入	否	带有已验证工具的自定义 MCP
在一个事务中进行多个数据库操作	否	自定义（MCP 是单操作）
在一个工作流中进行数据库 + 外部 API 操作	否	自定义编排

记忆协议（强制）

cat .claude/context/memory/learnings.md

完成后： 记录发现的任何新模式或例外情况。

假设中断：您的上下文可能会重置。如果它不在记忆中，那就没有发生过。