Concatenar campos diretamente em consultas SQL pode expor a aplicação a riscos de segurança, como o SQL Injection. Isso ocorre porque um usuário mal-intencionado pode inserir comandos SQL maliciosos nos campos de entrada, manipulando a consulta e acessando ou alterando dados de forma não autorizada. Riscos de segurança ao concatenar campos diretamente: 1. SQL Injection: Um atacante pode injetar código SQL na entrada, comprometendo a integridade do banco de dados. 2. Exposição de dados sensíveis: Acesso não autorizado a informações que deveriam ser protegidas. 3. Alteração de dados: Possibilidade de modificar ou excluir dados críticos. Uso de PreparedStatement: O uso de `PreparedStatement` ajuda a mitigar essa vulnerabilidade, pois separa a lógica da consulta dos dados. Isso significa que os parâmetros são tratados de forma segura, evitando a execução de código malicioso. Exemplo de código: ```java String sql = "SELECT * FROM itens WHERE titulo = ? AND autor = ?"; PreparedStatement pstmt = connection.prepareStatement(sql); pstmt.setString(1, titulo); pstmt.setString(2, autor); ResultSet rs = pstmt.executeQuery(); ``` Modelagem do banco de dados: A modelagem do banco de dados pode influenciar na segurança e eficiência da aplicação de várias maneiras: 1. Normalização: Reduz a redundância e melhora a integridade dos dados, dificultando a manipulação maliciosa. 2. Restrições de integridade: Implementar chaves primárias e estrangeiras ajuda a manter a consistência dos dados. 3. Controle de acesso: Definir permissões adequadas para diferentes usuários e funções pode proteger dados sensíveis. Em resumo, uma boa modelagem de banco de dados, aliada ao uso de `PreparedStatement`, pode aumentar significativamente a segurança e a eficiência da aplicação.