MyBatis如何防止sql注入

什么是sql注入？

SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严，攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句，在管理员不知情的情况下实现非法操作，以此来实现欺骗数据库服务器执行非授权的任意查询，从而进一步得到相应的数据信息。

例如：

正常情况下就是这样不会出现问题
"select * from user where password = " +password; 
如果有人这样传入"123 or 1=1"此时就变成了
"select * from user where password = 123 or 1=1"
此时无论密码对错都能把用户信息全部查到，自然也能登陆成功

JDBC是如何防止sql注入的？

在jdbc中一般使用PreparedStatement防止sql注入。

Mybatis防止sql注入

下面是mybatis两种sql

<select id="findByUsernameAndPassword" resultMap="User" parameterType="String" >
    select * from user where username = #{username} and password = #{password}
  </select>

<select id="findByUsernameAndPassword" resultMap="User" parameterType="String" >
    select * from user where username = ${username} and password = ${password}
  </select>

主要是#和$的区别。

"#"将sql进行预编译"where id = ?"，然后底层再使用PreparedStatement的set方法进行参数设置。

"$ "将传入的数据直接将参数拼接在sql中，比如 “where password = 123”。

因此，#与$相比，#可以很大程度的防止sql注入，因为对sql做了预编译处理，因此在使用中一般使用#{}方式。

参考：https://blog.csdn.net/zh137289/article/details/90551305

Mybatis防止SQL注入