预编译prepare

A. 能够有效应对sql注入攻击的方法是

预编译语句（Prepared Statements）是能够有效应对SQL注入攻击的方法。
详细
1. 预编译语句的工作原理
预编译语句将SQL查询分为两个步骤。首先，数据库预编译SQL语句模板，然后，应用程序绑定参数到该模板。由于参数值是在预编译后传入的，因此，它们不会被解释为SQL代码，从而防止了SQL注入。
2. 使用预编译语句的例子
以php和MySQL为例，假设我们要从数据库中查询某个用户的信息：
传统的、容易受到SQL注入攻击的方法：
php
$username = $_GET['username']; // 假设用户输入的是 'admin' OR '1'='1'
$query = "SELECT FROM users WHERE username = '$username'";
使用预编译语句的方法：
php
$stmt = $pdo->prepare('SELECT FROM users WHERE username = :username');
$stmt->execute(['username' => $_GET['username']]);
在上述例子中，即使攻击者尝试注入恶意的SQL代码，它也只会被当作普通的参数值处理，不会被数据库解释为SQL指令。
3. 其他防御措施
虽然预编译语句是防御SQL注入的有效手段，但还需要结合其他安全措施，如：
输入验证：确保用户输入的数据符合预期格式和长度。例如，如果期望的是一个电话号码，那么非数字字符就不应该被接受。
错误处理：不要向用户显示详细的数据库错误信息，因为这可能为攻击者提供有关数据库结构的有价值的信息。
最小权限原则：为应用程序使用的数据库账号分配最小的必要权限。例如，如果应用程序只需要从数据库中读取数据，那么就不应该给它写入权限。
4. 培训和意识
除了技术手段外，对开发人员进行关于SQL注入的教育和培训也非常重要。开发人员需要了解SQL注入的基本原理、如何检测潜在的注入点以及如何修复这些问题。此外，定期的安全审查和测试也有助于确保应用程序的安全性。

B. JDBC中的Statement和PreparedStatement的区别

statement是语句，prepared statement是预定义语句。
书写合格的程序代码，是进行程序设计的根本。熟练地掌握了这些内容，在以后的编程中才不会捉襟见肘。编程的语法就像人类语言的语法一样，是用一些词汇和词汇的组织规则来表达自己的。
Visual Basic的程序代码由语句、常数和声明等部分组成。这些语句就叫做statements，使用最频繁的语句是赋值语句，在程序运行的过程中改变对象的属性、变量的值。语法如下：
对象.属性或变量=表达式
赋值语句是把等号右边表达式的值赋给等号左边的变量或对象的属性。
要添加注释，只需要用单引号’作为注释文字的开头。注释符告诉Visual Basic，忽略这个符号后面的内容，这些内容就是代码段中的注释部分，在代码编辑器中以绿色字符显示。
注释可以和语句在同一行，写在语句的后面，也可占据一整行。
可以在代码编辑器中，用续行符（_）把长语句分成几行。使用续行符，在电脑上和打印出来时，代码变得更加易读。
在同一行内，续行符后面不能加注释。续行符也不能把变量名和属性名分隔在两行中。
一行有一个Visual Basic语句，不用像C语言那样，一条语句后面要加一个分号作为语句的终结符，但是也可以把两个或几个语句放在同一行，只是要用冒号把它们分开。但是，为了便于阅读，最好还是一行放一个语句。