2018年9月13日.NET笔试面试题

什么是SQL注入？如何避免SQL注入？

• 所谓SQL注入，就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。
• 具体来说，它是利用现有应用程序，将（恶意的）SQL命令注入到后台数据库引擎执行的能力，它可以通过在Web表单中输入（恶意）SQL语句得到一个存在安全漏洞的网站上的数据库，而不是按照设计者意图去执行SQL语句。

---

避免SQL注入归纳一下，主要有以下几点：

1. 永远不要信任用户的输入。对用户的输入进行校验，可以通过正则表达式或限制长度；对单引号和双"-"进行转换等。
2. 永远不要使用动态拼装sql，可以使用参数化的sql或者直接使用存储过程进行数据查询存取。
3. 永远不要使用管理员权限的数据库连接，为每个应用使用单独的权限有限的数据库连接。
4. 不要把机密信息直接存放，加密或者hash掉密码和敏感的信息。
5. 应用的异常信息应该给出尽可能少的提示，最好使用自定义的错误信息对原始错误信息进行包装。

---

数据库三范式是什么?

用自己的话解释，而不是背概念。

• 第一范式（1NF）：字段不能有冗余信息，所有字段都是必不可少的。
• 第二范式（2NF）：满足第一范式并且表必须有主键。
• 第三范式（3NF）：满足第二范式并且表引用其他的表必须通过主键引用。
  理解数据库设计三大范式

---

override与overload的区别？

• override是方法覆写。
• overload是方法重载。
• 重载方法的名称相同，参数或参数类型不同，进行多次重载以适应不同的需要。
• override 是进行基类中函数的重写。
• 重载是面向过程的概念，override是面向对象的概念