相比於ORM框架，Mybatis只能被稱為半自動持久層框架，它其實是將JDBC進行了輕量級的封裝，提供SQL對映能力，便於更為方便地管理專案中的SQL程式碼，同時避免程式設計師重複手動編寫連線資料庫底層程式碼，並提供資料快取能力。

JDBC在使用時存在SQL注入攻擊的風險，同樣需要進行SQL編寫的Mybatis同樣也有這個問題，在使用時需要注意，防止被別有用心的人利用。

那麼在Mybatis中如何避免SQL注入攻擊呢？

答：在SQL對映檔案中儘量使用#指示符標識引數位置，避免使用$。

我們通過簡短的程式來看這二者實際有什麼不同。

首先我們使用$符號來注入引數

<select
 
 id="getCustomerCar" resultType="map">
    select * from tb_customer_car t where t.customer_id = ${customerId}
</select>

測試用的Java程式碼：

@Test
public void testGetCustomerCar(){
    TestService service = new TestService();
    try {
        Map<String,Object> parameters = new HashMap<>();
        //如果使用SQL拼接將or 1=1拼接進SQL，那麼攻擊者就能竊取到tb_customer_car表中的所有資料
 

        parameters.put("customerId", "1 or 1=1");
        service.getCustomerCar(parameters);
    } catch (IOException e) {
        e.printStackTrace();
    }
}

程式輸出結果：

==>  Preparing: select * from tb_customer_car t where t.customer_id = 1 or 1=1 
==> Parameters: 
<==    Columns: customer_id, brand, model
<==        Row: 1, 福特, 福克斯
<==        Row: 2, 雪佛蘭, 科魯茲
<==      Total: 2
 

可以看到使用$指示符時Mybatis在編譯時將1 or 1=1直接拼接進了SQL語句中，從而導致攻擊者獲取到所有的資料。

我們將$替換為#來注入引數：

<select id="getCustomerCar" resultType="map">
    select * from tb_customer_car t where t.customer_id = #{customerId}
</select>

程式輸出結果：

==>  Preparing: select * from tb_customer_car t where t.customer_id = ? 
==> Parameters: 1 or 1=1(String)
<==    Columns: customer_id, brand, model
<==        Row: 1, 福特, 福克斯
<==      Total: 1

從輸出結果可以看出，#標識的引數被預編譯為了佔位符?，1 or 1=1是作為引數來替換佔位符。

這裡查詢出了customer_id為1的資料，是因為cutomer_id欄位是int型的，在Mysql中將int型別資料和varchar型別資料比較判斷時，會將varchar的首字元轉化為數字來和int型別資料比較判斷。

因此，為了防止SQL注入攻擊，在使用Mybatis時我們應儘量使用#而不是$來注入引數。