mybatis如何防止sql注入

MyBatis支持使用PreparedStatement来执行SQL，它会对输入的参数进行自动转义，有效防止SQL注入。：

```xml

SELECT * FROM user WHERE name = #{name} AND age = #{age}

```

MyBatis支持使用OGNL表达式来动态生成SQL，这种方式下MyBatis会自动对输入的参数进行转义。：

```xml

SELECT * FROM user WHERE ${condition}

```

你自定义SQL语句，且不希望使用OGNL表达式，你手动对输入的参数进行转义。

- 对用户输入的数据进行严格的校验，长度、类型、格式等。

- 尽量避免在SQL语句中直接拼接用户的输入数据。

- 定期对系统进行安全检查，包括代码审查、漏洞扫描等。