【MyBatis 1】SQL注入

在MyBatis中，SQL注入通常是通过在XML映射文件或者注解中拼接字符串来构造SQL语句的。例如，当使用动态SQL时，如果不正确地处理输入参数，攻击者可以注入恶意的SQL片段。

解决方法：

1. 使用MyBatis提供的动态SQL功能，如<if>标签，避免直接拼接字符串。
2. 使用预编译的参数（PreparedStatement），通过使用#{}来绑定参数，而不是${}。
3. 对于复杂的查询，使用MyBatis的XML映射文件或注解来分离逻辑和数据。
4. 对输入参数进行验证和清理，确保它们不包含非法字符或SQL关键字。
5. 使用MyBatis的内置安全管理器来防止SQL注入。
6. 定期进行安全审计和漏洞扫描，确保应用程序没有已知的SQL注入漏洞。

示例代码：

<!-- 错误：直接拼接，易受SQL注入 -->
<select id="selectUser" resultType="User">
  SELECT * FROM users WHERE username = '${username}'
</select>
 
<!-- 正确：使用#{}，防止SQL注入 -->
<select id="selectUser" parameterType="String" resultType="User">
  SELECT * FROM users WHERE username = #{username}
</select>

在上述示例中，错误的SQL直接将username拼接进SQL语句，而正确的方法通过#{}绑定参数，MyBatis会在内部处理参数，防止SQL注入。