Interview ➣ ➣MyBatis防止 sql 注入

MyBatis防止 sql 注入

sql注入大家都不陌生，是一种常见的攻击方式，攻击者在界面的表单信息或url上输入一些奇怪的sql片段，例如“or
‘1’=‘1’”这样的语句，有可能入侵参数校验不足的应用程序，

mybatis框架作为一款半自动化的持久层框架，其sql语句都要我们自己来手动编写，这个时候当然需要防止sql注入

1. 在mybatis中，” $ {xxx}”这样格式的参数会直接参与sql编译，从而不能避免注入攻击。但涉及到动态表名和列名时，只能使用“${xxx}”这样的参数格式，所以，这样的参数需要我们在代码中手工进行处理来防止注入。
2. 在编写mybatis的映射语句时，尽量采用“#{xxx}”这样的格式。若不得不使用“ $ {xxx}”这样的参数，要手工地做好过滤工作，来防止sql注入攻击。