关于 SQL 注入的问题

拼串 (Statement)方式

1、编译次数多，效率比较低；会出现SQL注入问题（数据安全问题）：先传参数再编译。

2、Sql文对应的字符串不一样，需要再次编译。Sql文对应的字符串一样，不会再编译，会从缓存中读取以前编译好的文件发送给数据库。

3、SQL注入问题：拼串的时候把特殊的内容(例如or 1=1)拼接到sql文当中，让它符合我们的编译规则，在缓存中正常编译，绕过正常验证机制，查询出不应该查询的内容。

占位符 (Prepared Statement)方式

1、只编译一次，效率比较高；不会出现SQL注入问题（数据安全问题）：先编译再传参数。

2、当sql文编译好后，如果添加特殊内容（例如or 1=1），发送到数据库后，数据库无法识别特殊内容（例如or 1=1），所以就不会产生sql注入问题了。

如何防止SQL注入

总的来说有以下几点：

1.永远不要信任用户的输入，要对用户的输入进行校验，可以通过正则表达式，或限制长度，对单引号和双"-"进行转换等。

2.永远不要使用动态拼装SQL，可以使用参数化的SQL或者直接使用存储过程进行数据查询存取。

3.永远不要使用管理员权限的数据库连接，为每个应用使用单独的权限有限的数据库连接。

4.不要把机密信息明文存放，请加密或者hash掉密码和敏感的信息。

5.应用的异常信息应该给出尽可能少的提示，最好使用自定义的错误信息对原始错误信息进行包装，把异常信息存放在独立的表中。