上一篇地址：赶紧收藏！2024 年最常见 100道 Java 基础面试题（三十四）-CSDN博客

六十九、spring mvc和struts的区别是什么？

Spring MVC和Struts都是Java EE（Java Enterprise Edition）中流行的MVC（Model-View-Controller）框架，用于构建Web应用程序。尽管它们的目标相似，但在设计理念、功能特性和使用方式上存在一些区别：

Spring MVC：

1. 非侵入性：Spring MVC不需要通过实现框架特定的接口或继承特定类来开发应用程序。它鼓励使用POJO（Plain Old Java Object）。

2. 前端控制器：Spring MVC使用一个中心控制器DispatcherServlet来处理所有请求，并将请求转发到不同的处理器。

3. 注解支持：Spring MVC支持使用注解（如@RequestMapping）来简化配置和映射，减少XML配置文件的使用。

4. 灵活性：Spring MVC提供了灵活的配置选项，允许开发者自由选择需要的组件。

5. 集成性：Spring MVC是Spring框架的一部分，可以无缝集成Spring的其他模块，如数据访问、安全和消息传递。

6. RESTful支持：Spring MVC对RESTful应用程序提供了更好的支持，包括请求映射和消息转换。

7. 依赖注入：Spring MVC使用Spring的依赖注入容器来管理应用程序的组件。

Struts：

1. 基于MVC：Struts是一个经典的MVC框架，它要求开发者遵循MVC模式，实现特定的接口和类。

2. 控制器组件：Struts使用Action类作为控制器，每个Action对应一个请求处理。

3. 配置中心化：Struts使用XML配置文件来定义应用程序的组件和请求映射，这使得配置集中化但可能变得复杂。

4. 扩展性：Struts通过插件和自定义的拦截器（Interceptor）提供了扩展性。

5. 表单处理：Struts提供了对表单处理的支持，包括表单验证和数据绑定。

6. OGNL（Object-Graph Navigation Language）：Struts使用OGNL表达式语言来访问和操作对象属性。

7. 依赖管理：Struts使用自己的依赖注入机制，虽然也可以与Spring集成，但通常不需要Spring的依赖注入容器。

区别总结：

• 配置方式：Spring MVC倾向于使用注解和Java配置类，而Struts主要使用XML配置文件。
• 非侵入性：Spring MVC更加非侵入性，不需要开发者改变模型类的结构。
• RESTful支持：Spring MVC对RESTful应用程序的支持更好。
• 集成性：Spring MVC可以更好地与Spring生态系统集成。
• 社区和文档：Spring MVC由于Spring框架的流行，拥有更大的社区和更丰富的文档资源。

在选择框架时，应考虑项目的具体需求、团队的熟悉度以及未来的可维护性。Spring MVC由于其灵活性、RESTful支持和与Spring生态系统的集成，通常被认为是现代Java Web应用程序开发的更优选择。然而，Struts在一些遗留系统中仍然被广泛使用。

七十、如何避免SQL注入？

SQL注入是一种常见的安全漏洞，攻击者可以通过在应用程序的输入字段中插入恶意SQL代码，从而欺骗后端数据库执行非法操作。以下是一些避免SQL注入的策略：

1. 使用预处理语句（PreparedStatement）：

   • 预处理语句可以避免SQL注入，因为它们使用参数化查询，这意味着SQL语句在发送到数据库时已经确定，参数后的值不会作为SQL代码执行。

   String sql = "SELECT * FROM users WHERE username = ? AND password = ?";
   PreparedStatement stmt = connection.prepareStatement(sql);
   stmt.setString(1, username);
   stmt.setString(2, password);

2. 对用户输入进行验证：

   • 在服务器端对所有用户输入进行验证，确保它们符合预期的格式，例如使用正则表达式来限制输入。

3. 使用白名单验证：

   • 定义可接受的输入值范围，并拒绝所有不在这个范围内的输入。

4. 对用户输入进行消毒：

   • 对用户输入进行消毒，移除或转义特殊字符，以防止它们被解释为SQL代码。

5. 使用ORM框架：

   • 使用对象关系映射（ORM）框架，如Hibernate或JPA，可以自动处理参数化查询，减少SQL注入的风险。

6. 限制数据库权限：

   • 为应用程序使用的数据库账户分配最小的必要权限，避免使用具有超级用户权限的账户。

7. 使用Web应用防火墙（WAF）：

   • 部署Web应用防火墙可以帮助过滤恶意流量，包括SQL注入攻击。

8. 定期更新和打补丁：

   • 保持应用程序和数据库软件更新到最新版本，以利用最新的安全修复。

9. 错误处理：

   • 避免在错误消息中泄露敏感信息，如数据库结构或SQL语句。自定义错误页面，避免显示详细的数据库错误信息。

10. 使用安全的框架和库：

    • 使用已经考虑到安全性的框架和库，它们通常提供了防止SQL注入的机制。

11. 进行安全审计和代码审查：

    • 定期进行代码审查和安全审计，以发现和修复潜在的安全漏洞。

12. 用户教育：

    • 对开发人员进行安全最佳实践的教育，提高他们对SQL注入等安全问题的意识。

示例代码：

// 错误的SQL查询，易受SQL注入攻击
String username = request.getParameter("username");
String password = request.getParameter("password");
String sql = "SELECT * FROM users WHERE username = '" + username + "' AND password = '" + password + "'";// 正确的SQL查询，使用预处理语句防止SQL注入
String sql = "SELECT * FROM users WHERE username = ? AND password = ?";
PreparedStatement stmt = connection.prepareStatement(sql);
stmt.setString(1, username);
stmt.setString(2, password);

总结：

• 使用预处理语句和参数化查询是避免SQL注入的最有效方法。
• 对用户输入进行严格的验证和消毒，限制数据库权限，使用ORM框架，部署Web应用防火墙等措施也非常重要。
• 定期更新软件，进行安全审计，以及对开发人员进行安全教育，可以帮助减少SQL注入的风险。