Mybatis 是如何实现防SQL注入攻击的

想来了解这个问题，先了解下什么是sql注入攻击。

所谓sql注入攻击，顾名思义，就是sql语句(恶意的) 注入到正常的执行过程中以达到某种目的方法。最常见的是在浏览器输入一些奇怪的sql语句（例如“or ‘1’=’1’”这样的语句）,在一些安全性要求很高的应用中，经常使用将SQL语句全部替换为存储过程这样的方式，来防止SQL注入。这当然是一种很安全的方式，但我们平时开发中，可能不需要这种死板的方式。

那么mybatis是如何做到防止sql注入的呢？其实就是三个字，预编译。在框架底层，是JDBC中的PreparedStatement类在起作用，PreparedStatement是我们很熟悉的Statement的子类，它的对象包含了编译好的SQL语句。这种“准备好”的方式不仅能提高安全性，而且在多次执行同一个SQL时，能够提高效率。原因是SQL已编译好，再次执行时无需再编译。

Mybatis框架作为一款半自动化的持久层框架，其SQL语句都要我们自己手动编写，这个时候当然需要防止SQL注入。其实，MyBatis的SQL是一个具有“输入+输出”的功能，类似于函数的结构，参考上面的两个例子。其中，parameterType表示了输入的参数类型，resultType表示了输出的参数类型。回应上文，如果我们想防止SQL注入，理所当然地要在输入参数上下功夫。使用#的即输入参数在SQL中拼接的部分，传入参数后，打印出执行的SQL语句，会看到SQL是这样的：

select xx from xx_table where xx=?

不管输入什么参数，打印出的SQL都是这样的。这是因为MyBatis启用了预编译功能，在SQL执行前，会先将上面的SQL发送给数据库进行编译；执行时，直接使用编译好的SQL，替换占位符“?”就可以了。因为SQL注入只能对编译过程起作用，所以这样的方式就很好地避免了SQL注入的问题。

另外需要一提的是，mybatis中的#和$的区别：

# 的方式 $ 变量方式

# 将传入的数据都当成一个字符串，会对自动传入的数据加一个双引号。如：where username=#{username}，如果传入的值是1,那么解析成sql时的值为where username="1"， 如果传入的值是id，则解析成的sql为where username="id" 。而  $  将传入的数据直接显示生成在sql中。如：where username=${username}，如果传入的值是1，那么解析成sql时的值为where username=1； 如果传入的值是 ;drop table user; ，则解析成的sql为：select id, username, password, role from user where username=;drop table user;  这个就很危险了，存在被注入攻击可能。所以 # 方式能够很大程度防止sql注入，$方式无法防止Sql注入。 故而 一般能用 # 的就别用 $，若不得不使用“${xx}”这样的参数（比如 传入数据库对象 ），要手工地做好过滤工作，来防止sql注入攻击。