赶紧收藏！2024 年最常见 100道 Java 基础面试题（三十五）

最新推荐文章于 2024-05-31 10:46:10 发布

学长爱编程

最新推荐文章于 2024-05-31 10:46:10 发布

阅读量1.1k

点赞数 14

分类专栏：程序员面试后端研发 Java 基础文章标签： java 开发语言改行学it 面试软件工程后端跳槽

本文链接：https://blog.csdn.net/weixin_42922481/article/details/138588096

版权

程序员面试同时被 3 个专栏收录

85 篇文章 1 订阅

订阅专栏

后端研发

70 篇文章 1 订阅

订阅专栏

Java 基础

51 篇文章 1 订阅

订阅专栏

上一篇地址：赶紧收藏！2024 年最常见 100道 Java 基础面试题（三十四）-CSDN博客

六十九、`spring mvc`和`struts`的区别是什么？

Spring MVC和Struts都是Java EE（Java Enterprise Edition）中流行的MVC（Model-View-Controller）框架，用于构建Web应用程序。尽管它们的目标相似，但在设计理念、功能特性和使用方式上存在一些区别：

Spring MVC：

非侵入性：Spring MVC不需要通过实现框架特定的接口或继承特定类来开发应用程序。它鼓励使用POJO（Plain Old Java Object）。
前端控制器：Spring MVC使用一个中心控制器DispatcherServlet来处理所有请求，并将请求转发到不同的处理器。
注解支持：Spring MVC支持使用注解（如@RequestMapping）来简化配置和映射，减少XML配置文件的使用。
灵活性：Spring MVC提供了灵活的配置选项，允许开发者自由选择需要的组件。
集成性：Spring MVC是Spring框架的一部分，可以无缝集成Spring的其他模块，如数据访问、安全和消息传递。
RESTful支持：Spring MVC对RESTful应用程序提供了更好的支持，包括请求映射和消息转换。
依赖注入：Spring MVC使用Spring的依赖注入容器来管理应用程序的组件。

Struts：

基于MVC：Struts是一个经典的MVC框架，它要求开发者遵循MVC模式，实现特定的接口和类。
控制器组件：Struts使用Action类作为控制器，每个Action对应一个请求处理。
配置中心化：Struts使用XML配置文件来定义应用程序的组件和请求映射，这使得配置集中化但可能变得复杂。
扩展性：Struts通过插件和自定义的拦截器（Interceptor）提供了扩展性。
表单处理：Struts提供了对表单处理的支持，包括表单验证和数据绑定。
OGNL（Object-Graph Navigation Language）：Struts使用OGNL表达式语言来访问和操作对象属性。
依赖管理：Struts使用自己的依赖注入机制，虽然也可以与Spring集成，但通常不需要Spring的依赖注入容器。

区别总结：

配置方式：Spring MVC倾向于使用注解和Java配置类，而Struts主要使用XML配置文件。
非侵入性：Spring MVC更加非侵入性，不需要开发者改变模型类的结构。
RESTful支持：Spring MVC对RESTful应用程序的支持更好。
集成性：Spring MVC可以更好地与Spring生态系统集成。
社区和文档：Spring MVC由于Spring框架的流行，拥有更大的社区和更丰富的文档资源。

在选择框架时，应考虑项目的具体需求、团队的熟悉度以及未来的可维护性。Spring MVC由于其灵活性、RESTful支持和与Spring生态系统的集成，通常被认为是现代Java Web应用程序开发的更优选择。然而，Struts在一些遗留系统中仍然被广泛使用。

七十、如何避免`SQL`注入？

SQL注入是一种常见的安全漏洞，攻击者可以通过在应用程序的输入字段中插入恶意SQL代码，从而欺骗后端数据库执行非法操作。以下是一些避免SQL注入的策略：

使用预处理语句（PreparedStatement）：
- 预处理语句可以避免SQL注入，因为它们使用参数化查询，这意味着SQL语句在发送到数据库时已经确定，参数后的值不会作为SQL代码执行。
```
String sql = "SELECT * FROM users WHERE username = ? AND password = ?";
PreparedStatement stmt = connection.prepareStatement(sql);
stmt.setString(1, username);
stmt.setString(2, password);
```
对用户输入进行验证：
- 在服务器端对所有用户输入进行验证，确保它们符合预期的格式，例如使用正则表达式来限制输入。
使用白名单验证：
- 定义可接受的输入值范围，并拒绝所有不在这个范围内的输入。
对用户输入进行消毒：
- 对用户输入进行消毒，移除或转义特殊字符，以防止它们被解释为SQL代码。
使用ORM框架：
- 使用对象关系映射（ORM）框架，如Hibernate或JPA，可以自动处理参数化查询，减少SQL注入的风险。
限制数据库权限：
- 为应用程序使用的数据库账户分配最小的必要权限，避免使用具有超级用户权限的账户。
使用Web应用防火墙（WAF）：
- 部署Web应用防火墙可以帮助过滤恶意流量，包括SQL注入攻击。
定期更新和打补丁：
- 保持应用程序和数据库软件更新到最新版本，以利用最新的安全修复。
错误处理：
- 避免在错误消息中泄露敏感信息，如数据库结构或SQL语句。自定义错误页面，避免显示详细的数据库错误信息。
使用安全的框架和库：
- 使用已经考虑到安全性的框架和库，它们通常提供了防止SQL注入的机制。
进行安全审计和代码审查：
- 定期进行代码审查和安全审计，以发现和修复潜在的安全漏洞。
用户教育：
- 对开发人员进行安全最佳实践的教育，提高他们对SQL注入等安全问题的意识。

示例代码：

// 错误的SQL查询，易受SQL注入攻击
String username = request.getParameter("username");
String password = request.getParameter("password");
String sql = "SELECT * FROM users WHERE username = '" + username + "' AND password = '" + password + "'";

// 正确的SQL查询，使用预处理语句防止SQL注入
String sql = "SELECT * FROM users WHERE username = ? AND password = ?";
PreparedStatement stmt = connection.prepareStatement(sql);
stmt.setString(1, username);
stmt.setString(2, password);

总结：