Чем SQL injection отличается от prepared statement и когда что выбрать?

JavaJuniorTransactions, SQL и PostgreSQLСравнениеjava|transactionssql и postgresql|sql|sql injection

Что хотят услышать интервьюеры:

Сравнение: SQL injection стоит сравнивать с prepared statement по критериям читаемости, безопасности, производительности, тестируемости и поддержки командой.

Ответ:

Когда выбирать SQL injection: когда его свойства прямо соответствуют задаче: параметризованные запросы защищают от injection.

Слабый ответ: “так принято в Spring/Java”. На собеседовании лучше объяснить ограничения и цену выбора. 

jdbcTemplate.query("select * from users where id=?", id);

Источники

Похожие вопросы

Transactions, SQL и PostgreSQL Как правильно применять SQL injection в реальном Java/Spring проекте? Transactions, SQL и PostgreSQL Какая типичная ошибка при работе с SQL injection и как ее избежать? Transactions, SQL и PostgreSQL Как правильно применять pagination SQL в реальном Java/Spring проекте? Transactions, SQL и PostgreSQL Как правильно применять transaction propagation в реальном Java/Spring проекте?