来源:postgr.es
37
2006 年,PostgreSQL 修复了一个与多字节字符编码相关的 SQL 注入漏洞。修复的产物之一是 ——一个至今仍留在 PostgreSQL 中的 GUC 参数,专门控制反斜杠是否能用于转义单引号。它看起来像个冷门配置,但理解它的来龙去脉,能让你对字符串转义和编码安全有更深的把握。 问题出在多字节编码(如 SJIS)与反斜杠转义的交互上。 在 S...
来源:azure.microsoft.com
26
PostgreSQL 不再只是"那个开源数据库"。从初创团队的第一行建表语句,到全球最大规模的生产系统,它已经成了现代应用的基础设施层。微软 Azure 博客最近的一篇文章梳理了这条路径——从一次次社区 commit,到云平台上的托管服务,PostgreSQL 的长寿不是运气,而是几十年工程纪律、社区协作和对"正确性与可扩展性"的偏执追求的结果。 Po...
来源:postgr.es
32
Postgres 即将发布的小版本更新(v18.4 及所有受支持大版本的同批次小版本)携带着一份沉重的安全补丁清单——11 个 CVE,从 v14 到 v18 全线受影响。其中包含一个被评为 Critical 的路径穿越漏洞、多个 High 级别的内存溢出和 SQL 注入,以及一个能让攻击者通过认证握手把服务器打崩的 DoS 漏洞。官方 CVSS 评分...
来源:postgr.es
31
PostgreSQL 的 pgcrypto 扩展里有一段 OpenPGP 实现,这段代码从 2005 年左右就躺在 contrib 目录中,直到 2025 年 12 月,一个堆缓冲区溢出漏洞被实际利用——整整二十年,无人察觉。 pgcrypto 是 PostgreSQL 的 contrib 扩展,提供对称加密、哈希、PGP 加密等功能。其中 OpenP...
来源:postgr.es
25
PostgreSQL 的内部统计数据从来不缺——、、,随便一个 DBA 都能列出一串视图。缺的是把时间序列上的变化串起来看,然后告诉你"这个 WAL 峰值和那批长事务是同一件事"。pg_statviz 一直在做前半段:轻量采集、出图、零侵入。1.0 版补上了后半段——用视觉大模型读图、读数据、读配置,给出 / / 判定和具体修复建议,同时用一套硬规则兜...
来源:postgr.es
26
Crunchy PGO(PostgreSQL Operator by Crunchy Data)在 Kubernetes 生态里深耕多年,但 CloudNativePG 作为 CNCF 沙箱项目,正以更声明式的 API 和更紧密的社区节奏吸引团队迁移。Gabriele Bartolini 的 Recipe 24 给了一条清晰路径:把 Crunchy P...
来源:postgr.es
28
2026 年第 18 周,PostgreSQL 社区活动密集:比利时 PGConf、柏林与爱丁堡的本地 Meetup 同期举行,而最值得关注的是 Talking Postgres 播客新一期——Adam Prout 分享了从 MemSQL 迁移到 HorizonDB 的工程师旅程。迁移故事比会议日程更有实操价值,本文先梳理社区动态,再聚焦迁移话题,给出...
来源:postgr.es
15
PostgreSQL 把数据写到共享缓冲区,再交给 Linux 页缓存,最终由内核刷回磁盘。这条链路看起来顺理成章,但 Linux 的刷盘节奏并不总是对数据库友好——脏页堆积到阈值后,内核可能一次性倾泻大量 I/O,造成查询卡顿甚至整个系统抖动。为了夺回主动权,PostgreSQL 从 9.6 起引入了四个 GUC,而 是其中最保守、也最容易被忽视的那...
来源:postgr.es
20
Postgres 的生态正经历一次微妙的重构:Snowflake、Lakebase、HorizonDB 三家平台先后发布了基于 Postgres 协议和接口的数据库产品,但底层存储引擎和扩展架构全部自研。换句话说——你写的是 Postgres SQL,跑的却不再是社区版 Postgres。 这不是简单的"兼容层"包装,而是把 Postgres 的查询引...
来源:postgr.es
16
托管 PostgreSQL 市场上,各家厂商的架构选择差异极大——有的走共享存储路线,有的在存储层做深度定制。Christophe Pettus 的分析指出,Google Cloud SQL for PostgreSQL 的做法颇为不同:它回归第一原理,本质上就是一台 VM 上跑一个常规 PostgreSQL 实例,挂一块区域磁盘(regional d...