mybatis如何防止sql注入

MyBatis本身具有一定的防止SQL注入的能力，可以通過以下幾種方式來增強防護性：

1. 使用預編譯的SQL語句：MyBatis支援使用#{param}的方式傳遞引數，MyBatis會自動進行引數的預編譯，防止SQL注入的風險。

```xml

SELECT * FROM user WHERE id = #{id}

```

2. 引數校驗和轉義：在業務邏輯層或者控制層對引數進行校驗，確保引數的合法性。同時，對於要插入到資料庫中的引數，可以使用MyBatis提供的SqlUtil類將特殊字元進行轉義（如單引號、雙引號等），從而防止SQL注入攻擊。

```java
String safeParam = peString(param);
```

3. 使用動態SQL和引數對映：MyBatis的動態SQL功能可以根據不同條件動態生成SQL語句，使用合適的引數對映方式可以避免SQL注入的風險。例如，使用<if>標籤判斷參數是否為空或符合條件。

```xml

SELECT * FROM user WHERE
id = #{id}
AND name = #{name}

```

儘管MyBatis有一些內建的防護機制，但也需要開發者在編寫SQL語句時注意引數校驗和轉義，以及合理使用動態SQL來防止SQL注入攻擊。