知了堂Java | Java基础面试题(11)

3.什么是sql注入？如何防止sql注入？

sql注入：

通过在 Web 表单中输入（恶意）SQL 语句得到一个存在安全漏洞的网站上的数据库，而不是 按照设计者意图去执行 SQL 语句。例如：当执行的 sql 为 select * from user where username = "admin" or "a"="a"时，sql 语句恒成立，参数 admin 毫无意义 

防止 sql 注入的方式：

1. 预编译语句：如，select * from user where username = ？，sql 语句语义不会发生改变，sql 语 句中变量用？表示，即使传递参数时为"admin or 'a'= 'a'"，也会把这整体当做一个字符创去查询。

2. Mybatis 框架中的 mapper 方式中的 # 也能很大程度的防止 sql 注入（$无法防止 sql 注入）。

4.有哪些sql优化方法？ 

当只要一行数据时使用 limit 1 

查询时如果已知会得到一条数据，这种情况下加上 limit 1 会增加性能。因为 mysql 数据库引 擎会在找到一条结果停止搜索，而不是继续查询下一条是否符合标准直到所有记录查询完 毕。 

选择正确的数据库引擎 ，Mysql 中有两个引擎 MyISAM 和 InnoDB，每个引擎有利有弊

MyISAM 适用于一些大量查询的应用，但对于有大量写功能的应用不是很好。甚至你只需要 update 一个字段整个表都会被锁起来。而别的进程就算是读操作也不行要等到当前 update 操作完成之后才能继续进行。另外，MyISAM 对于 select count(*)这类操作是超级快的。

InnoDB 的趋势会是一个非常复杂的存储引擎，对于一些小的应用会比 MyISAM 还慢，但是 支持“行锁”，所以在写操作比较多的时候会比较优秀。并且，它支持很多的高级应用，例 如：事务。

用 not exists 代替 not in 

Not exists 用到了连接能够发挥已经建立好的索引的作用，not in 不能使用索引。Not in 是 最慢的方式要同每条记录比较，在数据量比较大的操作时不建议使用这种方式 

对操作符的优化，尽量不采用不利于索引的操作符 

如：in not in is null is not null <>等

某个字段总要拿来搜索，

为其建立索引：Mysql 中使用 alter table 语句来为表中的字段添加 索引：alter table 表明 add index (字段名)