之前看到的一道java面试题,Statement与PreparedStatement的区别,什么是SQL注入,如何防止SQL注入
前面部分比较好回答
1、PreparedStatement支持动态设置参数,Statement不支持。
2、PreparedStatement可避免如类似单引号的编码麻烦。
3、PreparedStatement支持预编译,Statement不支持。
4、在sql语句出错时PreparedStatement不易检查,而Statement则更便于查错。
(如果有不完善欢迎补充)
而什么是sql注入?
sql注入是攻击者通过sql注入漏洞绕过应用程序安全措施,检索整个sql数据库内容,甚至进行插入删除修改操作。简而言之,就是攻击者用拼接sql语句可以直接对sql进行增删改查。
比如select * from table where name = "+appName+",利用appName参数值的输入,来生成恶意的sql语句,如将['or'1'='1'] 传入可在数据库中执行。
sql注入攻击类型有很多。主要有带内注入,带外注入,盲注入。
如何防止sql注入?
1.尽量少使用或者不使用动态sql,这样可以减少用户提供的sql直接放入语句。
2.对数据库一些敏感内容进行加密存储,比如密码,电话等。
3.限制数据库权限。
4.不要直接向用户显示数据库错误,因为攻击者可以通过错误信息获取一定的有用信息。
5.对访问数据库的Web应用程序使用Web应用程序防火墙(WAF),这个比较直接,防火墙通过设置,进行判断,如果是sql注入,直接给你拦外边了,不会继续提交请求。
6.更新数据库,减少漏洞