在 Spring Boot 和 MyBatis 中,防止 SQL 注入的主要方法包括:
1.使用 MyBatis 的动态 SQL
MyBatis 提供了安全构建 SQL 查询的方式,推荐使用动态 SQL 标签(如 <if>、<choose>、<foreach> 等)构建查询条件,而不是直接拼接字符串。这样可以避免手动拼接时带来的注入风险。
示例:
<select id="findByCondition" parameterType="map" resultType="User">
SELECT * FROM users
<where>
<if test="name != null">
AND name = #{name}
</if>
<if test="age != null">
AND age = #{age}
</if>
</where>
</select>
2. 使用 MyBatis 的 #{} 进行参数绑定
在 MyBatis 中,使用 #{} 而不是 ${} 来绑定参数。#{} 可以确保参数被预编译为 SQL 语句中的占位符,MyBatis 会自动进行参数转义,防止注入。
#{}:会预编译 SQL 语句,防止注入(安全)${}:直接拼接参数,可能会导致注入风险(不安全)
示例:
<select id="getUserById" resultType="User">
SELECT * FROM users WHERE id = #{id}
</select>
3. 限制用户输入
对用户输入进行严格的校验,确保输入符合预期的格式。可以在前端或后端对输入进行校验,避免非预期的字符或格式进入 SQL 语句。
4. 使用框架的防护功能
配合使用 Spring Security 等框架提供的 SQL 注入防护机制,进一步增强应用的安全性。
