Workout Tracker

记录健身数据，自动解析训练内容并写入数据库。

🚀 完整安装指南

1. 安装依赖

2. 安全配置环境变量（推荐方法）

方法 A：使用 .env 文件（最安全）

方法 B：临时环境变量（会话有效）

方法 C：交互式输入（最安全，无痕迹）

⚠️ 安全警告：避免将密码存储在 ~/.bashrc、~/.zshrc 或版本控制的文件中。

3. 数据库用户创建

4. 初始化数据库（一键脚本）

5. 验证安装

安全配置（推荐使用 .env 文件）

自动化安装脚本（安全版本）

本地配置说明

本技能专为单用户本地部署设计（用户无需公开任何凭据）。数据库配置通过本地环境变量或配置文件管理，不随技能发布。

默认单用户 ID 说明：

• - 本技能设计为单用户工具（userid = 1 是默认值，适用于个人本地使用）
• 安装后用户可自行修改 workout_sessions 和 workout_items 中的 user_id 以匹配自己的设置
• 数据库表结构兼容多用户扩展（只需在查询时指定对应 userid）

数据库结构

CODEBLOCK9

核心流程

标准预排模式（默认）

用户一次性报完整动作计划 → 我预排所有组 → 用户每完成一组说 done → 我逐条标记完成

用户命令示例：

• - 说"深蹲 60公斤 4组×8次" → 预排所有组，记录为待完成状态，回复"已预排4组，每完成一组说done"
• 说"done" → 标记当前训练最新一组为完成状态，回复"第1组完成！还剩3组"
• 说"done 这组是10次" → 同上，并更新该组次数为10次
• 说"done 加一组" → 完成当前组，并追加一组相同训练
• 说"卧推 40公斤 3组×10次" → 切换到新动作，重新预排
• 说"结束了" → 训练完成，自动计算时长，询问状态评分

操作流程（预排模式）：
CODEBLOCK10

情绪价值 — 鼓励语料库（随机选取）：

每完成一组时，随机附上以下类型的鼓励语：

• - 🔥 进度类："又完成一组，腿部在燃烧！"、"离目标又近了一步！"、INLINECODE11
• 💪 力量类："这重量稳的！"、"继续保持这个节奏"、INLINECODE14
• 🌟 夸赞类："不错不错！"、"这组完成得很干净"、INLINECODE17
• 😅 幽默类："腿已经软了？坚持住！"、"疼痛是成长的象征 😄"、INLINECODE20
• 🏆 完成类（动作全部完成）："这个动作拿捏了！"、"太强了，下一个！"、INLINECODE23

鼓励触发规则：

• - 开始新动作时：30%概率附一句（针对该动作的简短鼓励）
• 每完成一组 "done" 时：50%概率附一句（简短、自然，不要每组都说）
• 动作全部4组完成时：80%概率附一句夸奖
• 用户感到吃力或犹豫时：主动降低语气，给予安慰而非催促
• 不要过度鼓励，保持自然节奏，避免刷屏感

SQL模板（参数化查询）：
CODEBLOCK11

模式二：一次性记录（训练后补录）

用户一次性报完整训练内容：
CODEBLOCK12

操作流程：

1. 1. 解析所有动作及每组数据
2. 创建 session
3. 批量插入 workout_items
4. 回复汇总

模式三：制定训练计划（基础版）

用户说"今天练腿给我一个计划"
→ 根据 gym_equipment 中的器械，生成针对性的训练计划
→ 回复格式：热身 → 主项 → 辅助项 → 拉伸

模式四：智能生成训练计划（增强版）

当用户说"今天练X"、"我要练X"、"给我一个X训练计划"时，自动执行：

第一步：查询本周已训练过的肌群（避免重复）
CODEBLOCK13

第二步：查询用户器械（确保计划可执行）
CODEBLOCK14

第三步：分析后生成计划

• - 目标肌群本周已练过 → 计划注明"上次练过此肌群，可适当降低强度"
• 目标肌群本周未练 → 正常强度
• 计划必须全部来自已有器械，无器械可用时标注"需新增器械"
• 回复格式：热身 → 主项（含建议重量参考）→ 辅助项 → 拉伸

回复模板：
CODEBLOCK15

模式五：查询记录

用户问"今天练了什么"、"上周训练几次"等
→ 执行查询SQL → 整理成表格回复

查询示例

训练完成汇总

查今日训练

查本周训练天数

查某动作历史

动作识别优先级

用户输入动作简称时，自动识别对应 exercise_types：

• - "山羊挺身" → 45度背部挺身机
• "腿举" → 腿举机/倒蹬机
• "罗马凳" → 罗马凳/背肌伸展架
• "深蹲" → 杠铃深蹲
• "卧推" → 杠铃卧推
• 等等（模糊匹配）

如果完全匹配不到，先插入新动作。

训练完成后的反馈询问

训练结束汇总回复后，必须主动询问：
CODEBLOCK20

用户回复后，更新 workout_sessions.notes：
CODEBLOCK21

常见动作类型判断

根据关键词判断 workout_type：

• - "跑"、"快走"、"椭圆机"、"有氧" → INLINECODE24
• "瑜伽"、"拉伸"、"普拉提" → INLINECODE25
• 其他（卧推、深蹲、硬拉、引体等） → INLINECODE26

模式六：球类/有氧运动记录（简化流程）

用户说"网球一小时"、"游泳半小时"等，直接创建 session，不走预排组流程。

识别规则：

• - 运动名 + 时长（网球/羽毛球/乒乓球/篮球/足球/游泳/跑步/骑行/椭圆机 等）
• 时长单位：小时/分钟/小时半（1.5小时）

操作流程：

1. 1. 匹配 exercise_types.name（模糊匹配 sport_name）
2. 创建 session，sport_name 字段写入运动名，workout_type 设为 INLINECODE30
3. INLINECODE31 写入实际时长（分钟）
4. 不创建 workout_items（这类运动不需要组数记录）
5. 回复汇总即可

SQL：
CODEBLOCK22

回复模板：
CODEBLOCK23

SQL 安全规范（严格禁止 SQL 注入）

所有用户输入必须经过参数化查询，禁止任何形式的字符串拼接 SQL。

✅ 正确做法（参数化查询）

❌ 绝对禁止的做法

⚠️ 特别注意

1. 1. LIKE 子句：必须参数化整个模式，不能只参数化搜索词
2. 表名/列名：不能参数化，必须白名单验证
3. 整数/浮点数：同样需要参数化，不要以为数字就安全
4. Python f-string：绝对禁止用于 SQL 语句构建

🔒 额外防护措施

1. 1. 数据库用户使用最小权限原则（仅 GRANT INSERT/SELECT/UPDATE/DELETE）
2. 所有查询记录日志（用于审计异常）
3. 输入验证：动作名称长度限制、数字范围检查
4. 错误消息不泄露数据库结构

安全审计清单（部署前必须检查）

🔍 SQL 注入防护

• - [ ] 所有 SQL 查询使用参数化语句（?, %s 等占位符）
• [ ] 绝对禁止字符串拼接构建 SQL
• [ ] LIKE 查询完全参数化（包括通配符 % 和 _）
• [ ] 整数/浮点数值也使用参数化查询

🔐 数据库权限

• - [ ] 创建专用数据库用户（非 root）
• [ ] 仅授予最小权限：INSERT/SELECT/UPDATE/DELETE
• [ ] 禁止 DROP、CREATE、ALTER 权限
• [ ] 定期审计数据库用户权限

🛡️ 输入验证

• - [ ] 动作名称长度限制（例如 50 字符）
• [ ] 数字范围验证（reps: 1-100, weight: 0-500kg）
• [ ] 时间/日期格式验证
• [ ] 特殊字符过滤或转义

📝 安全配置

• - [ ] 数据库连接使用本地 socket（非 TCP）
• [ ] 错误消息不泄露数据库结构
• [ ] 查询日志记录（用于审计异常）
• [ ] 定期备份数据库

🚨 应急响应

• - [ ] 监控异常查询模式
• [ ] 记录失败登录尝试
• [ ] 准备数据库恢复方案
• [ ] 定期安全更新 MySQL

注意事项

• - 用户 ID 默认为 1（单用户本地部署）
• 所有 SQL 必须使用参数化查询，防止 SQL 注入
• 数据库用户建议创建专用账户，仅授予 INSERT/SELECT/UPDATE/DELETE 权限
• durationmin 单位为分钟
• weightkg 单位为公斤，保留2位小数
• reps 为整数（次数）
• set_order 从1开始，每组递增
• 训练结束后必须询问状态评分
• 解析时支持"4组×8次"、"4x8"、"四组八次"、"每组12次"等多种格式
• 用户说"done"时，记录的是当前 session 最新插入的未完成组